Informações dos cidadãos podem ser usadas para fraudes
Uma falha de segurança no Sistema Único de Informações de Benefícios (Suibe) do Instituto Nacional do Seguro Social (INSS) deixou dados de milhões de beneficiários disponíveis para usuários externos e possibilitou acessos descontrolados às informações.
A gravidade do problema resultou na desativação do sistema no começo de maio, interrompendo a produção de estatísticas da Previdência Social. A vulnerabilidade foi confirmada pelo presidente do INSS, Alessandro Stefanutto.
Stefanutto esclareceu à equipe de reportagem da Folha de S.Paulo que, ao longo do tempo, o instituto acumulou centenas de senhas fornecidas a usuários externos, sem revisar tais autorizações.
Apesar do Suibe não autorizar a aprovação de novos benefícios, ele armazena dados delicados de todos os benefícios previamente concedidos, incluindo informações cadastrais, tipo de benefício, valor e data de concessão.
O último exemplar disponível do Boletim Estatístico da Previdência Social (Beps), datado de fevereiro de 2024, depende essencialmente desse sistema.
Possibilidade de fraudes
Essas informações, se caírem em mãos inapropriadas, podem ser utilizadas para fraudes. Apesar de o INSS não possuir evidências de vazamento, existem relatos de segurados que descobriram a concessão de benefícios por terceiros e instituições que ofertam produtos financeiros antes mesmo do anúncio oficial do INSS.
“Uma fonte de vazamento provavelmente era lá, porque as pessoas roubam a senha dos outros”, disse Stefanutto. “Alguém também decidiu ceder ao crime organizado. Daí vende isso para as financeiras, provavelmente”.
Os indivíduos externos que utilizavam o Suibe eram funcionários de outros departamentos ministeriais e representantes de agências que se beneficiavam dos dados da Previdência para suas operações. De acordo com Stefanutto, a questão se focalizava na ausência de um sistema de controle para cancelar as credenciais de usuários que abandonavam a agência ou o setor público. Ademais, as entradas no sistema eram realizadas apenas por meio de nome de usuário e senha, sem a utilização de “autenticação dupla” ou “VPN”.
Falta de controle e autenticação inadequada
A fornecedora da tecnologia do Suibe, a Dataprev, declarou que “informações sobre o Suibe devem ser solicitadas ao INSS, órgão gestor do sistema”.
Stefanutto comunicou que o INSS não tem controle sobre quais dados foram acessados por usuários de fora, apenas monitora a quantidade de informações retiradas. Se detectado um alto volume, o sistema impede o endereço IP.
“Quando vieram me mostrar isso naquele dia, [disseram] ‘olha, hoje teve um IP que começou a querer puxar muito dado, foi bloqueado, já foi resolvido’, eu falei ‘quantas senhas externas tem?”, disse Stefanutto.
A suspensão de todos os acessos foi motivada pela resposta. Ele admitiu que nunca antes havia questionado quem possuía acesso ao repositório de dados. “Até então, eu não sabia; isso aí deve estar num acervo construído ao longo de décadas”, afirmou.
Ações Implementadas Após a Detecção de Falhas
Já foi restabelecido o acesso ao Suibe, porém sob novas regras que exigem VPN e certificado digital emitido pelo Serpro. Atualmente, somente 11 acessos foram autorizados, distribuídos entre cinco órgãos: Polícia Federal, CGU, TCU e os ministérios do Desenvolvimento Social e Agricultura.
“Se o ministério precisar, vamos fazer um procedimento formal e vai ficar guardado digitalmente”, disse Stefanutto. “Aí eu tenho o controle e o compromisso do ministério de que, se a pessoa sair, não pode derrubar só as senhas internas.”
Stefanutto também fez referência à correção de outras falhas de segurança, como a necessidade de um “certificado digital” para acessar o sistema de concessão de benefícios.
“Claro que é grave; e qualquer coisa que envolva a senha digital é grave e deveria ter um controle maior”, admitiu. “E foi isso que a gente fez: corrigiu”. As informações são da Revista Oeste.
