A Dataprev confirmou que um incidente de segurança envolvendo sistemas do Instituto Nacional do Seguro Social (INSS) expôs dados associados a aproximadamente 2,8 milhões de CPFs. A informação foi apresentada nesta terça-feira (26) durante reunião do Conselho Nacional da Previdência Social.
Segundo a empresa estatal responsável pelo processamento de dados previdenciários, cerca de 98% dos registros acessados pertenciam a cidadãos já falecidos. Ainda assim, aproximadamente 52 mil pessoas vivas tiveram informações expostas, incluindo datas de nascimento.
O caso amplia a dimensão inicialmente divulgada pelas autoridades e reacende o debate sobre segurança digital em sistemas governamentais.
Número de afetados supera estimativa inicial
Quando o incidente veio a público, na semana anterior, técnicos do INSS estimavam que aproximadamente 2 milhões de segurados teriam sido impactados. A nova apuração elevou o total para 2,8 milhões de CPFs consultados.
Durante a apresentação, Edmar dos Santos Ferreira Junior, representante da Dataprev, explicou que parte da diferença ocorreu porque um mesmo CPF foi acessado mais de uma vez ao longo do incidente.
Apesar do volume expressivo, a estatal reforçou que a maioria dos dados consultados pertence a pessoas já falecidas.
Segundo os dados preliminares:
- Aproximadamente 98% dos registros eram de cidadãos com óbito registrado;
- Cerca de 52 mil pessoas vivas tiveram dados expostos;
- Entre as informações acessadas estavam datas de nascimento.
Falha ocorreu em sistema do Meu INSS
As investigações apontaram que o incidente foi causado por uma falha em um serviço vinculado ao sistema do Meu INSS.
De acordo com Ferreira Junior, a vulnerabilidade estava relacionada a uma consulta que deveria estar protegida por autenticação de login, mas que acabou acessível mesmo em ambiente público.
Na prática, uma funcionalidade interna do sistema aceitava requisições sem exigir o processo de autenticação previsto.
“Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você estivesse em um ambiente público”, explicou o representante da Dataprev durante a reunião.
Segundo ele, a exposição ocorreu por apenas um dia antes da correção do problema.
Medidas de correção já foram aplicadas
A Dataprev informou que a falha foi corrigida imediatamente após a identificação do incidente, registrada oficialmente em 22 de abril.
Além da correção emergencial, a estatal afirmou estar desenvolvendo uma atualização de segurança que limitará consultas simultâneas, permitindo que apenas um usuário consulte um CPF por vez.
O objetivo é reduzir riscos de exploração automatizada e evitar acessos indevidos em larga escala.
INSS afirma que benefícios seguem protegidos
Em nota, o INSS afirmou que, apesar da exposição de dados, os mecanismos de concessão de benefícios permanecem protegidos por múltiplas camadas de verificação.
Segundo a autarquia, operações como empréstimos consignados, aposentadorias e pensões exigem etapas adicionais de autenticação e documentação.
No caso da pensão por morte, por exemplo, é necessária a apresentação de certidão de óbito, além de outros procedimentos de validação.
O órgão também declarou que reforçou seus controles internos após o incidente.
“A concessão de qualquer benefício possui uma série de travas de segurança. O INSS tem reforçado seus controles internos a fim de oferecer maior segurança à análise de seus benefícios”, afirmou a autarquia.
Histórico de vulnerabilidades preocupa
Este não é o primeiro episódio envolvendo exposição de dados previdenciários.
Em 2024, o INSS já havia confirmado outra vulnerabilidade que permitiu a exposição de informações consideradas sensíveis relacionadas a aposentadorias, benefícios assistenciais e programas sociais.
A recorrência de falhas levanta preocupações sobre a segurança dos sistemas públicos e reforça a necessidade de revisão contínua dos mecanismos de autenticação, monitoramento e proteção de dados sensíveis dos cidadãos.
Embora a maior parte dos registros envolvidos neste caso pertença a pessoas falecidas, especialistas alertam que informações pessoais — mesmo limitadas — podem ser utilizadas em fraudes documentais, golpes financeiros e esquemas de engenharia social.
