Vazamento no INSS expõe dados de 2 milhões de segurados

O Instituto Nacional do Seguro Social e a Dataprev confirmaram nesta quinta-feira, 21 de maio, o vazamento de dados cadastrais de aproximadamente 2 milhões de segurados da Previdência Social. O incidente foi identificado pela Dataprev em 22 de abril, mas só foi tornado público um mês depois, após reportagem da Folha de S.Paulo.

Dos registros expostos, 97% pertencem a pessoas falecidas. No entanto, cerca de 50 mil CPFs de cidadãos vivos foram acessados indevidamente, segundo dados preliminares que ainda estão sendo consolidados. A vulnerabilidade ficava no sistema Meu INSS. Ao digitar o CPF de um segurado para abrir um requerimento de benefício, a interface exibia nome completo, data de nascimento e todo o histórico de vínculos empregatícios. Há suspeita de que robôs de automação tenham sido usados para realizar raspagem em massa dos dados. A Dataprev informou que o endereço de IP usado foi bloqueado no mesmo dia e que novos controles de segurança com limites de acesso foram implementados.

A ANPD foi notificada dentro do prazo legal, mas afirmou que detalhes técnicos não serão divulgados para preservar a segurança institucional. O Instituto reforçou que a concessão de benefícios e empréstimos consignados exige camadas extras de proteção, incluindo biometria facial. Especialistas em segurança digital alertam que os dados expostos são um prato cheio para criminosos, que podem cruzá-los para aplicar golpes de engenharia social e abrir contas falsas.

▌ CYBERPROTEC INTELIGÊNCIA

O vazamento do INSS tem duas camadas que merecem atenção. A primeira é a demora de um mês entre a detecção do incidente e a comunicação ao público. A segunda é o tipo de dado exposto. O histórico de vínculos empregatícios é uma informação que não se troca, não se redefine e não se cancela. Quem teve esse histórico acessado carrega uma vulnerabilidade permanente. O criminoso que detém esse perfil sabe onde a vítima trabalhou, por quanto tempo e em quais períodos, informações que servem de base para golpes de engenharia social altamente personalizados.

Para as empresas, o risco é indireto mas real. Um colaborador que teve esses dados vazados pode ser usado como ponte para ataques direcionados ao ambiente corporativo. A recomendação é orientar equipes a monitorar o extrato do Meu INSS e tratar qualquer contato que use informações previdenciárias como potencial tentativa de fraude.