Vulnerabilidade do INSS pode ter vazado dados de beneficiários

Uma vulnerabilidade de segurança expôs dados de milhões de beneficiários do INSS (Instituto Nacional do Seguro Social) para agentes externos. Em resposta ao ocorrido, o instituto mudou a forma de acesso ao sistema Suibe (Sistema Único de Informações de Benefícios) e apura se houve vazamento dos dados pela plataforma. 

• Como consultar o PIS/Pasep
• CNPJ vai incluir números e letras a partir de 2026
• O celular escuta as suas conversas? Saiba o que dizem os especialistas

Em resposta à Folha de S. Paulo, o presidente do INSS, Alessandro Stefanutto, confirmou o problema no sistema: o instituto concedeu senhas a usuários externos ao longo dos anos, mas nunca fez uma movimentação para bloquear esses acessos. Isso significa que uma pessoa poderia deixar o cargo, mas ainda tinha acesso ao sistema com senha e sem a necessidade de fazer verificações em duas etapas.

Dessa forma, grupos poderiam ter usado o Suibe para acessar dados cadastrais dos beneficiários e realizar ações fraudulentas, como assinar empréstimos consignados sem o consentimento da pessoa.

Mudanças no Suibe

Em nota enviada ao Canaltech, o INSS anunciou mudanças no acesso ao Suibe devido ao aumento de solicitações de informações. O método simples de login e senha foi substituído por acesso via certificado digital e criptografia, para manter os dados protegidos. 

Além disso, o órgão reforça que o Suibe não permite conceder novos benefícios, apenas registra os pedidos já feitos, e que a equipe interna trabalha para verificar se houve vazamento de dados.

Veja a nota completa:

O INSS informa que, devido ao aumento de solicitações de informações – detectado pelos setores de monitoramento do INSS e da Dataprev –, o sistema o Suíbe, antes acessível por senha e login por outros órgãos e servidores, teve a sua política de segurança atualizada. Agora, é preciso utilizar certificado digital e criptografia para ter acesso ao sistema.

O Suíbe foi o primeiro sistema extrator de dados do INSS que teve seu fluxo de acesso alterado pelas novas regras de segurança tecnológica, que estão sendo renovadas em 2024. Lembrando que os sistemas que geram a concessão de benefícios já estão com a nova camada de segurança.

Cabe destacar que o Suibe não permite conceder novos benefícios. Sua base de dados é composta de benefícios já requeridos. As equipes do INSS estão fazendo um levantamento para verificar se houve ou não vazamento de informações.

Queda nas reclamações

O INSS não confirma a origem do vazamento, mas é bem provável que a vulnerabilidade tenha sido causada pelo Suibe. Desde o desligamento temporário do sistema, feito em maio deste ano, o número de reclamações na ouvidoria sobre empréstimos consignados despencou: a média era de 943 registros por mês entre janeiro e março e caiu para 405 em maio, segundo o presidente do instituto.