Sistemas da Dataprev apresentaram vulnerabilidade que expôs CPFs de segurados em todo o país.
(Imagem: Rafa Neddermeyer/Agência Brasil)
Um incidente de segurança de grandes proporções no sistema do Instituto Nacional do Seguro Social (INSS) expôs as informações pessoais de 2,8 milhões de brasileiros. O número, divulgado nesta terça-feira (26) pela Dataprev, empresa estatal responsável pela infraestrutura tecnológica da Previdência, é significativamente superior às estimativas iniciais, que apontavam para cerca de 2 milhões de registros afetados.
O vazamento ocorreu devido a uma vulnerabilidade técnica crítica no aplicativo Meu INSS, uma das ferramentas mais utilizadas pelos cidadãos para consultas de benefícios e histórico de contribuições. Segundo o relatório apresentado ao Conselho Nacional da Previdência Social (CNPS), a falha permitiu que dados sensíveis fossem acessados sem a necessidade de autenticação (login e senha), deixando as portas abertas para consultas automatizadas e em massa.
A composição dos dados expostos
Embora o número total de CPFs atingidos seja alarmante, a Dataprev fez uma ressalva importante para acalmar o mercado e os segurados: cerca de 98% dos dados acessados indevidamente pertenciam a pessoas já falecidas. No entanto, a vulnerabilidade não foi inofensiva para quem ainda depende do sistema. Aproximadamente 52 mil segurados vivos tiveram suas informações expostas durante o incidente.
Os dados acessados incluíam o número do CPF e a data de nascimento. De acordo com Edmar dos Santos Ferreira Junior, representante da Dataprev, a falha consistia em uma interface que, embora devesse estar em ambiente restrito, respondia a consultas de ambiente público. "Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você estivesse em um ambiente público", explicou o técnico. O problema, segundo a estatal, persistiu por apenas um dia antes de ser detectado e bloqueado.
Risco de fraudes e o silêncio administrativo
Apesar de o incidente ter ocorrido em 22 de abril, a notícia só se tornou pública meses depois, o que gerou críticas de especialistas em proteção de dados. O governo federal garante que, até o momento, não houve a concessão indevida de benefícios nem a contratação de empréstimos consignados fraudulentos vinculados a este vazamento específico. Contudo, o mercado de segurança digital alerta que dados básicos como CPF e data de nascimento são o "combustível" para golpes de engenharia social.
Com essas informações em mãos, criminosos podem tentar se passar por atendentes do INSS para coletar dados ainda mais sensíveis ou induzir aposentados a realizar transferências financeiras. A preocupação é maior justamente para os 52 mil segurados vivos, cujos dados estão agora circulando em bancos de dados clandestinos na internet.
Resposta institucional e medidas de proteção
Em nota oficial, o INSS reforçou que a concessão de benefícios passa por múltiplas camadas de validação que não dependem apenas dos dados vazados. A Dataprev, por sua vez, informou que implementou novas barreiras de segurança e limites de acesso para impedir consultas simultâneas em massa, uma técnica conhecida como scraping, usada por robôs para extrair informações de sites.
A Autoridade Nacional de Proteção de Dados (ANPD) foi notificada e deve acompanhar o desdobramento do caso para verificar se houve negligência no tratamento das informações. Este não é o primeiro revés de segurança do instituto neste ano, o que levanta um debate urgente sobre a robustez da infraestrutura digital que guarda as informações de milhões de trabalhadores brasileiros.
Para o segurado, a recomendação permanece a mesma: monitorar movimentações suspeitas no aplicativo Meu INSS e desconfiar de contatos telefônicos ou via WhatsApp que solicitem senhas ou fotos para "atualização cadastral". O incidente de abril serve como um lembrete de que, no ambiente digital, a vigilância deve ser constante tanto por parte do Estado quanto do cidadão.
