Falha de segurança no sistema do INSS expõe dados de milhões de beneficiários

Uma falha de segurança no Sistema Único de Informações de Benefícios (Suibe) do Instituto Nacional do Seguro Social (INSS) expôs dados de milhões de beneficiários a usuários externos e permitiu acessos sem controle às informações.

O problema foi tão grave que levou à desativação do sistema no início de maio, o que interrompeu a produção de estatísticas da Previdência Social. Alessandro Stefanutto, presidente do INSS, confirmou a vulnerabilidade.

+ Leia mais notícias de Brasil em Oeste

Stefanutto explicou para a reportagem da Folha de S.Paulo que, ao longo dos anos, o instituto acumulou centenas de senhas concedidas a usuários externos sem revisar essas autorizações.

Embora o Suibe não permita a concessão de novos benefícios, ele contém dados sensíveis de todos os benefícios já deferidos, como informações cadastrais, tipo de benefício, valor e data de concessão.

Esse sistema é crucial para o Boletim Estatístico da Previdência Social (Beps), cuja última edição disponível é de fevereiro de 2024.

Possibilidade de fraudes

Nas mãos erradas, esses dados podem ser usados para fraudes. Embora o INSS não tenha provas de vazamento, há relatos de segurados que souberam da concessão de benefícios por terceiros e de instituições que oferecem produtos financeiros antes do comunicado oficial do INSS.

“Uma fonte de vazamento provavelmente era lá, porque as pessoas roubam a senha dos outros”, disse Stefanutto. “Alguém também decidiu ceder ao crime organizado. Daí vende isso para as financeiras, provavelmente”.

Os usuários externos do Suibe incluíam servidores de outros ministérios e representantes de órgãos que utilizam dados da Previdência para suas atividades. O problema, segundo Stefanutto, era a falta de controle para revogar as senhas de usuários que deixavam o órgão ou a administração pública. Além disso, os acessos eram feitos apenas com usuário e senha, sem autenticação dupla ou VPN.

Falta de controle e autenticação inadequada

A Dataprev, fornecedora da tecnologia do Suibe, afirmou que “informações sobre o Suibe devem ser solicitadas ao INSS, órgão gestor do sistema”.

Stefanutto informou que o INSS não controla quais informações foram acessadas por usuários externos, e monitora apenas o volume de dados extraídos. Quando um volume elevado é detectado, o sistema bloqueia o endereço IP.

“Quando vieram me mostrar isso naquele dia, [disseram] ‘olha, hoje teve um IP que começou a querer puxar muito dado, foi bloqueado, já foi resolvido’, eu falei ‘quantas senhas externas tem?”, disse Stefanutto.

A resposta motivou a suspensão de todos os acessos. Ele reconhece que nunca havia se perguntado antes sobre quem tinha acesso ao repositório de dados. “Até então, eu não sabia; isso aí deve estar num acervo construído ao longo de décadas”, afirmou.

Medidas tomadas depois da descoberta da falha

O acesso ao Suibe já foi restabelecido sob novas regras, exigindo VPN e certificado digital emitido pelo Serpro. Agora, apenas 11 acessos foram autorizados para cinco órgãos: Polícia Federal, CGU, TCU e os ministérios do Desenvolvimento Social e Agricultura.

+ INSS e Caixa lideram ranking de processos no Brasil

“Se o ministério precisar, vamos fazer um procedimento formal e vai ficar guardado digitalmente”, disse Stefanutto. “Aí eu tenho o controle e o compromisso do ministério de que, se a pessoa sair, não pode derrubar só as senhas internas.”

Stefanutto também mencionou a correção de outras vulnerabilidades, como a exigência de certificado digital para acessos ao sistema de concessão de benefícios.

“Claro que é grave; e qualquer coisa que envolva a senha digital é grave e deveria ter um controle maior”, admitiu. “E foi isso que a gente fez: corrigiu”.