Informações fornecidas de 39 milhões de beneficiários do INSS (Instituto Nacional do Seguro Social) mostraram a usuários externos uma falha de segurança no Sistema Único de Informações de Benefícios (Suibe). A vulnerabilidade permitiu o acesso não autorizado aos dados e levou à suspensão da plataforma no mês passado.
A falha expôs informações que incluem dados cadastrais e tipos de benefícios, como contribuições e ajudas-doença, tornando os beneficiários alvos simples para finanças oferecerem serviços. A situação foi agravada pela ausência de controle sobre o uso das senhas, que podem ter sido mantidas por ex-funcionários ou repassadas indevidamente.
O presidente do INSS, Alessandro Stefanutto, confirmou a falha e disse que ocorreu por conta do acúmulo de centenas de senhas concedidas a usuários externos ao longo dos anos, sem revisão das autorizações.
“Alguém decidiu ceder ao crime organizado e vendeu isso para as finanças. Por isso, o cara liga para vender empréstimo consignado”, explicou à purificação da Folha de São Paulo publicado nesta segunda (24), associando o incidente ao aumento das reclamações sobre ofertas de empréstimos antes mesmo do comunicado oficial do INSS aos beneficiários.
O Suibe é essencial para a produção do Boletim Estatístico da Previdência Social (Beps), mas não concede novos benefícios. Ele funciona como um repositório, armazenando informações fornecidas sobre concessões anteriores, incluindo dados cadastrais e valores devidos.
De acordo com a apuração, o INSS não apresentou evidências concretas de vazamento, mas o histórico de reclamações de seguros sugere que os dados foram acessados e utilizados indevidamente por terceiros. Stefanutto disse que as solicitações relacionadas ao empréstimo consignado chegaram a 943 registros por mês, em média, entre janeiro e março.
Em abril, afirma, foram 553, enquanto que em maio reduziram para 405. Ele diz que decidiu “fechar o portão” e suspender todos os acessos externos ao Suibe para restrição.
“Eu perdi, honestamente, que isso estava numa governança melhor. O que eu fiz foi fechar o portão”, afirmou.
Novas regras para acesso aos dados
Stefanutto disse que o sistema, fornecido pela Dataprev, passou por uma revisão de segurança e foi restabelecido com novas regras de acesso, incluindo VPN e certificado digital emitido pelo Serpro.
Agora, apenas 11 acessos são permitidos, distribuídos entre a Polícia Federal, a Controladoria-Geral da União (CGU), o Tribunal de Contas da União (TCU) e os Ministérios do Desenvolvimento Social e Agricultura. A concessão de novos acessos, diz, requer um procedimento formal, mantendo o controle sobre quem pode acessar o sistema.
Além disso, Stefanutto afirma que o INSS implementou a exigência de certificados digitais para os servidores internos que acessam o sistema de concessão de benefícios.
“Qualquer coisa que envolva a senha digital é grave. Deveria ter um controle maior. E é isso que a gente fez: corrigiu”, disse destacando que o órgão tomou medidas para fortalecer a segurança e evitar novos incidentes.