Uma falha de segurança no Sistema Único de Informações de Benefícios (Suibe) do Instituto Nacional do Seguro Social (INSS) expôs dados de milhões de beneficiários a usuários externos e permitiu acessos sem controle às informações.
O problema foi tão grave que levou à desativação do sistema no início de maio, o que interrompeu a produção de estatísticas da Previdência Social. Alessandro Stefanutto, presidente do INSS, confirmou a vulnerabilidade.
Stefanutto explicou para a reportagem da Folha de S. Paulo que, ao longo dos anos, o instituto acumulou centenas de senhas concedidas a usuários externos sem revisar essas autorizações.
Embora o Suibe não permita a concessão de novos benefícios, ele contém dados sensíveis de todos os benefícios já deferidos, como informações cadastrais, tipo de benefício, valor e data de concessão.
Este sistema é crucial para o Boletim Estatístico da Previdência Social (Beps), cuja última edição disponível é de fevereiro de 2024.
Possibilidade de fraudes
Nas mãos erradas, esses dados podem ser usados para fraudes. Embora o INSS não tenha provas de vazamento, há relatos de segurados que souberam da concessão de benefícios por terceiros e de instituições oferecendo produtos financeiros antes do comunicado oficial do INSS.
“Uma fonte de vazamento provavelmente era lá, porque as pessoas roubam a senha dos outros”, disse Stefanutto. “Alguém também decidiu ceder ao crime organizado. Daí vende isso para as financeiras, provavelmente”.
Os usuários externos do Suibe incluíam servidores de outros ministérios e representantes de órgãos que utilizam dados da Previdência para suas atividades. O problema, segundo Stefanutto, era a falta de controle para revogar as senhas de usuários que deixavam o órgão ou a administração pública. Além disso, os acessos eram feitos apenas com usuário e senha, sem autenticação dupla ou VPN.
Falta de controle e autenticação inadequada
A Dataprev, fornecedora da tecnologia do Suibe, afirmou que “informações sobre o Suibe devem ser solicitadas ao INSS, órgão gestor do sistema”.
Stefanutto informou que o INSS não controla quais informações foram acessadas por usuários externos, monitorando apenas o volume de dados extraídos. Quando um volume elevado é detectado, o sistema bloqueia o endereço IP.
“Quando vieram me mostrar isso naquele dia, [disseram] ‘olha, hoje teve um IP que começou a querer puxar muito dado, foi bloqueado, já foi resolvido’, eu falei ‘quantas senhas externas tem?”, disse Stefanutto.
A resposta motivou a suspensão de todos os acessos. Ele reconhece que nunca havia se perguntado antes sobre quem tinha acesso ao repositório de dados. “Até então, eu não sabia; isso aí deve estar num acervo construído ao longo de décadas”, afirmou.
Medidas tomadas depois de a descoberta da falha
O acesso ao Suibe já foi restabelecido sob novas regras, exigindo VPN e certificado digital emitido pelo Serpro. Agora, apenas 11 acessos foram autorizados para cinco órgãos: Polícia Federal, CGU, TCU e os ministérios do Desenvolvimento Social e Agricultura.
“Se o ministério precisar, vamos fazer um procedimento formal e vai ficar guardado digitalmente”, disse Stefanutto. “Aí eu tenho o controle e o compromisso do ministério de que, se a pessoa sair, não pode derrubar só as senhas internas.”
Stefanutto também mencionou a correção de outras vulnerabilidades, como a exigência de certificado digital para acessos ao sistema de concessão de benefícios.
“Claro que é grave; e qualquer coisa que envolva a senha digital é grave e deveria ter um controle maior”, admitiu. “E foi isso que a gente fez: corrigiu”.