Sem controle do INSS (Instituto Nacional do Seguro Social), milhões de dados sigilosos de beneficiários ficaram expostos publicamente, e foram acessados por usuários externos. A constatação da falha teve como consequência o desligamento do Suibe (Sistema Único de Informações de Benefícios) no início de maio. Isso paralisou a produção de estatísticas da Previdência Social.
A informação foi publicada na Folha de S. Paulo pela jornalista Indiana Tomazelli e foi confirmada pelo presidente do INSS, Alessandro Stefanutto.
O instituto coletou um estoque de centenas de senhas — o número exato não foi divulgado — repassadas a usuários externos ao longo das últimas décadas sem que houvesse revisão da autorização desses acessos.
Isso quer dizer que dados cadastrais dos beneficiários, como espécie do benefício (se é uma aposentadoria ou auxílio-doença, por exemplo), valor devido e data de concessão, entre outros, foram vazados. O Suibe é uma das principais fontes de dados para a produção do Beps (Boletim Estatístico da Previdência Social), relatório mensal detalhado das concessões e emissões de benefícios pagos pelo INSS. A edição mais recente disponível é de fevereiro de 2024.
De posse desse repositório, criminosos podem realizar ações fraudulentas.
O INSS diz não ter provas concretas de que houve vazamento de dados do Suibe, mas o órgão acumula um histórico de reclamações de segurados que souberam da concessão do benefício por meio de terceiros. São muito comuns relatos de instituições que entram em contato com beneficiários para oferecer produtos financeiros, como empréstimo consignado, antes mesmo de o beneficiário receber do INSS o comunicado oficial sobre a concessão.
“Uma fonte de vazamento, provavelmente, era lá, porque as pessoas roubam a senha dos outros. Alguém também decidiu ceder ao crime organizado. Daí vende isso para as financeiras, provavelmente. Por isso o cara liga para vender empréstimo consignado. Arranjou o telefone, arranjou tudo, porque lá tem dados cadastrais das pessoas”, afirmou Stefanutto à Folha de S. Paulo.
Reclamações ao INSS caíram depois da descoberta
O presidente do INSS acredita que o vazamento tenha relação com as fraudes, porque as reclamações na ouvidoria envolvendo empréstimo consignado caíram a 405 em maio, enquanto de janeiro e março, a média foi de 943 registros de ocorrência por mês.
Os chamados usuários externos do Suibe são servidores de outros ministérios ou representantes de órgãos que utilizam as informações da Previdência para desenvolver alguma tarefa — por exemplo, a AGU (Advocacia-Geral da União) — recorre ao sistema para obter dados e defender a União em ações judiciais.
O problema, segundo o presidente do INSS, é que não havia controle para garantir a revogação da senha do usuário que deixasse o órgão ou a administração pública.
Os acessos também eram feitos por meio da entrada simples de usuário e senha, sem duplo fator de autenticação nem uso de VPN (ferramenta que limita o acesso a usuários de uma mesma rede privada, mais segura).
Mesmo que o dono da credencial não tenha tido a intenção de fazer mau uso do acesso, a conclusão do INSS é que a governança desses dados era frágil, deixando vulneráveis as informações de 39,5 milhões de beneficiários.
A solução tecnológica do Suibe é fornecida pela Dataprev, empresa de tecnologia do governo federal. Procurada pelo jornal, ela disse que “informações sobre o Suibe devem ser solicitadas ao INSS, órgão gestor do sistema”.
Segundo o presidente do INSS, o órgão não tem controle sobre quais informações e de quais beneficiários os usuários externos acessaram. O monitoramento é feito pelo volume de dados extraídos. Quando esse volume é muito elevado, o sistema dispara um alerta, e o endereço IP é bloqueado.
“Quando vieram me mostrar isso naquele dia, [disseram] ‘olha, hoje teve um IP que começou a querer puxar muito dado, foi bloqueado, já foi resolvido’, eu falei ‘quantas senhas externas tem?”, diz Stefanutto. A resposta de que eram centenas motivou a ordem para suspender todos os acessos.
Fonte: ICL Notícias