Vazamento no INSS compromete 2,8 milhões de CPFs; Dataprev detalha falha de segurança
Dados da Dataprev mostram que 52 mil pessoas vivas tiveram informações expostas; falha técnica permitiu acesso sem login.
Novo balanço da Dataprev revela que 2,8 milhões de CPFs foram atingidos em vazamento de dados do INSS, superando estimativa inicial. A maioria dos registros é de pessoas falecidas, mas 52 mil cidadãos vivos também tiveram informações expostas devido a uma falha de login no sistema.
Uma nova atualização sobre o incidente de segurança cibernética que atingiu o Instituto Nacional do Seguro Social (INSS) revelou que a dimensão do problema é ainda maior do que a inicialmente estimada. Segundo dados apresentados nesta terça-feira (26) pela Dataprev, empresa pública responsável pelo processamento de informações da Previdência, o vazamento de dados expôs informações de 2,8 milhões de CPFs. O levantamento anterior, divulgado na semana passada, apontava para cerca de 2 milhões de registros comprometidos. A nova contagem foi apresentada por Edmar dos Santos Ferreira Junior, representante da estatal, durante uma reunião do Conselho Nacional da Previdência Social, trazendo à tona a vulnerabilidade de um dos sistemas mais sensíveis do governo federal.
A análise detalhada dos dados afetados mostra um perfil específico das informações capturadas. De acordo com a Dataprev, aproximadamente 98% dos CPFs consultados indevidamente pertenciam a cidadãos já falecidos. No entanto, o incidente não se limitou a registros históricos; cerca de 52 mil pessoas vivas tiveram dados sensíveis, como a data de nascimento, expostos durante a brecha de segurança. O evento ocorreu em abril e teria durado apenas um dia, mas foi suficiente para que ferramentas automatizadas ou usuários mal-intencionados realizassem consultas repetidas sobre os mesmos documentos, ampliando o rastro da invasão nos servidores da autarquia e gerando um alerta sobre a proteção de dados de beneficiários.
A causa técnica do incidente foi identificada como uma falha estrutural em uma interface de consulta do portal Meu INSS. Ferreira Junior explicou que o sistema possuía uma "porta aberta" inadequada: uma ferramenta que deveria operar exclusivamente sob autenticação de login (ambiente restrito) acabou permitindo respostas a solicitações vindas de ambientes públicos, sem a necessidade de identificação prévia. Essa fragilidade permitiu que dados fossem extraídos de forma massiva antes que as equipes técnicas percebessem a irregularidade e aplicassem as correções necessárias. Embora o erro tenha sido sanado prontamente após a detecção, a exposição levanta questionamentos sobre os protocolos de auditoria de software dentro da administração pública.
Para o leitor brasileiro, especialmente o aposentado e pensionista, o principal temor reside na possibilidade de fraudes financeiras, como a contratação de empréstimos consignados indevidos em nome de terceiros. Sobre este ponto, o INSS buscou tranquilizar a população, afirmando que a concessão de novos benefícios ou a liberação de crédito exige uma série de camadas de segurança adicionais que não foram comprometidas, como a apresentação de documentos físicos ou digitais específicos e validações biométricas. No caso de pensões por morte, a exigência da certidão de óbito original e procedimentos presenciais servem como travas de segurança para evitar que os dados de falecidos sejam usados para desviar recursos públicos.
Este não é o primeiro incidente de vulnerabilidade registrado pelo órgão em 2024, o que coloca a autarquia e a Dataprev sob forte pressão de órgãos de controle, como a Autoridade Nacional de Proteção de Dados (ANPD). Como desdobramento imediato, a Dataprev anunciou que está implementando uma atualização rigorosa em seus sistemas para restringir o volume de consultas: a nova regra impedirá que múltiplos acessos sejam feitos simultaneamente a um mesmo CPF por usuários distintos. Além disso, as investigações continuam para determinar a autoria e a intenção por trás da extração massiva de dados, enquanto o Governo Federal tenta reforçar a infraestrutura tecnológica para evitar novas exposições que possam comprometer a privacidade de milhões de brasileiros atendidos pela Previdência Social.
