Da redação
O Instituto Nacional do Seguro Social (INSS) teve dados de 2,8 milhões de CPFs expostos em um vazamento ocorrido em abril, conforme informou a Dataprev nesta terça-feira (26), em reunião do Conselho Nacional da Previdência Social (CNPS). O incidente, que atingiu principalmente pessoas já falecidas, decorreu de uma falha no sistema do aplicativo Meu INSS.
Segundo a Dataprev, 98% dos registros acessados pertenciam a pessoas falecidas, mas cerca de 52 mil segurados vivos também tiveram informações expostas. Os dados acessados indevidamente incluíam CPFs e datas de nascimento, e o volume elevado de acessos se deu porque um mesmo CPF pôde ser consultado mais de uma vez.
A recente atualização da quantidade de registros afetados supera a estimativa inicial do INSS, que era de 2 milhões de pessoas impactadas. Apesar do acesso indevido, a Dataprev afirmou que não houve liberação de benefícios nem contratação automática de empréstimos consignados. O erro, segundo o representante da estatal no CNPS, Edmar dos Santos Ferreira Junior, durou somente um dia.
A investigação preliminar aponta que o problema foi causado por uma área do aplicativo Meu INSS que deveria exigir autenticação, mas ficou temporariamente acessível sem login. “Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você estivesse em um ambiente público”, explicou Edmar dos Santos Ferreira Junior.
Após a identificação do incidente em 22 de abril, a Dataprev informou que corrigiu imediatamente a falha e implementou novos controles de segurança capazes de limitar acessos simultâneos em massa. O INSS reforçou ainda que a concessão de benefícios passa por várias etapas de validação para evitar irregularidades e que os controles internos foram aprimorados.
A Autoridade Nacional de Proteção de Dados (ANPD) foi comunicada após a descoberta do vazamento, conforme indicaram a Dataprev e o INSS. O banco de dados do INSS contém informações de aposentados, pensionistas e beneficiários de programas sociais. Em 2024, outro incidente semelhante já havia exposto dados sigilosos de beneficiários.
