BRAS\u00cdLIA, DF (FOLHAPRESS) – Dados sigilosos de milh\u00f5es de benefici\u00e1rios do INSS (Instituto Nacional do Seguro Social) ficaram expostos a usu\u00e1rios externos, que puderam acessar as informa\u00e7\u00f5es sem o devido controle do \u00f3rg\u00e3o.<\/p>\n
A descoberta levou ao desligamento do chamado Suibe (Sistema \u00danico de Informa\u00e7\u00f5es de Benef\u00edcios) no in\u00edcio de maio e paralisou a produ\u00e7\u00e3o de estat\u00edsticas da Previd\u00eancia Social.<\/p>\n
A vulnerabilidade do sistema foi confirmada \u00e0 Folha pelo presidente do INSS, Alessandro Stefanutto.<\/p>\n
Segundo ele, o instituto acumulou um estoque de centenas de senhas \u2013o \u00f3rg\u00e3o n\u00e3o divulgou o n\u00famero exato\u2013 concedidas a usu\u00e1rios externos ao longo das \u00faltimas d\u00e9cadas e nunca revisou a autoriza\u00e7\u00e3o desses acessos.<\/p>\n
O Suibe n\u00e3o permite conceder novos benef\u00edcios, mas cont\u00e9m informa\u00e7\u00f5es de todos aqueles j\u00e1 deferidos, inclusive dados cadastrais dos benefici\u00e1rios, esp\u00e9cie do benef\u00edcio (se \u00e9 uma aposentadoria ou aux\u00edlio-doen\u00e7a, por exemplo), valor devido e data de concess\u00e3o, entre outros.<\/p>\n
Ele \u00e9 uma das principais fontes de dados para a produ\u00e7\u00e3o do Beps (Boletim Estat\u00edstico da Previd\u00eancia Social), relat\u00f3rio mensal detalhado das concess\u00f5es e emiss\u00f5es de benef\u00edcios pagos pelo INSS. A edi\u00e7\u00e3o mais recente dispon\u00edvel \u00e9 de fevereiro de 2024.<\/p>\n
Nas m\u00e3os de criminosos, esse reposit\u00f3rio se converte em um ativo valioso para direcionar potenciais a\u00e7\u00f5es fraudulentas.<\/p>\n
O INSS diz n\u00e3o ter provas concretas de que houve vazamento de dados do Suibe, mas o \u00f3rg\u00e3o acumula um hist\u00f3rico de reclama\u00e7\u00f5es de segurados que souberam da concess\u00e3o do benef\u00edcio por meio de terceiros.<\/p>\n
H\u00e1 relatos de institui\u00e7\u00f5es que entram em contato para oferecer produtos financeiros, como empr\u00e9stimo consignado, antes mesmo de o benefici\u00e1rio receber do INSS o comunicado oficial sobre a concess\u00e3o.<\/p>\n
“Uma fonte de vazamento, provavelmente, era l\u00e1, porque as pessoas roubam a senha dos outros. Algu\u00e9m tamb\u00e9m decidiu ceder ao crime organizado. Da\u00ed vende isso para as financeiras, provavelmente. Por isso o cara liga para vender empr\u00e9stimo consignado. Arranjou o telefone, arranjou tudo, porque l\u00e1 tem dados cadastrais das pessoas”, afirma Stefanutto.<\/p>\n
Ele diz acreditar na rela\u00e7\u00e3o, porque as reclama\u00e7\u00f5es na ouvidoria envolvendo empr\u00e9stimo consignado ca\u00edram a 405 em maio. Entre janeiro e mar\u00e7o, a m\u00e9dia foi de 943 registros de ocorr\u00eancia por m\u00eas. Em abril, o n\u00famero j\u00e1 havia recuado a 553.<\/p>\n
Usu\u00e1rios externos do Suibe s\u00e3o servidores de outros minist\u00e9rios ou representantes de \u00f3rg\u00e3os que utilizam as informa\u00e7\u00f5es da Previd\u00eancia para desenvolver alguma tarefa \u2013por exemplo, a AGU (Advocacia-Geral da Uni\u00e3o) recorre ao sistema para obter subs\u00eddios e defender a Uni\u00e3o em a\u00e7\u00f5es judiciais.
O problema, segundo o presidente do INSS, \u00e9 que n\u00e3o havia controle para garantir a revoga\u00e7\u00e3o da senha do usu\u00e1rio que deixasse o \u00f3rg\u00e3o ou a administra\u00e7\u00e3o p\u00fablica.<\/p>\n
Os acessos tamb\u00e9m eram feitos por meio da entrada simples de usu\u00e1rio e senha, sem duplo fator de autentica\u00e7\u00e3o nem uso de VPN (ferramenta que limita o acesso a usu\u00e1rios de uma mesma rede privada, mais segura).<\/p>\n
Ainda que o dono original da credencial n\u00e3o tenha tido a inten\u00e7\u00e3o de fazer mau uso do acesso, a conclus\u00e3o do INSS \u00e9 que a governan\u00e7a desses dados era fr\u00e1gil, deixando vulner\u00e1veis as informa\u00e7\u00f5es de 39,5 milh\u00f5es de benefici\u00e1rios.<\/p>\n
“Eu achava, honestamente, que isso estava numa governan\u00e7a melhor. N\u00e3o quer dizer, porque voc\u00ea tem um port\u00e3o aberto, que a casa vai ser roubada. Mas pode ser mais roubada do que com o port\u00e3o fechado. O que eu fiz foi fechar o port\u00e3o. Mandei suspender todos [os usu\u00e1rios externos]. Tirei da tomada, falei ‘reorganizem'”, afirma Stefanutto.<\/p>\n
A solu\u00e7\u00e3o tecnol\u00f3gica do Suibe \u00e9 fornecida pela Dataprev, empresa de tecnologia do governo federal. Procurada, ela disse que “informa\u00e7\u00f5es sobre o Suibe devem ser solicitadas ao INSS, \u00f3rg\u00e3o gestor do sistema”.<\/p>\n
Segundo o presidente do INSS, o \u00f3rg\u00e3o n\u00e3o tem controle sobre quais informa\u00e7\u00f5es e de quais benefici\u00e1rios os usu\u00e1rios externos acessaram. O monitoramento \u00e9 feito pelo volume de dados extra\u00eddos. Quando esse volume \u00e9 muito elevado, o sistema dispara um alerta, e o endere\u00e7o IP \u00e9 bloqueado.<\/p>\n
“Quando vieram me mostrar isso naquele dia, [disseram] ‘olha, hoje teve um IP que come\u00e7ou a querer puxar muito dado, foi bloqueado, j\u00e1 foi resolvido’, eu falei ‘quantas senhas externas tem?”, diz Stefanutto. A resposta de que eram centenas motivou a ordem para suspender todos os acessos.<\/p>\n
O presidente do \u00f3rg\u00e3o reconhece que nunca havia se perguntado antes sobre quem tinha acesso ao reposit\u00f3rio de dados. “At\u00e9 ent\u00e3o eu n\u00e3o sabia. Isso a\u00ed deve estar num acervo constru\u00eddo ao longo de d\u00e9cadas”, diz.<\/p>\n
“Um caso fict\u00edcio, mas que tem fundo de verdade: voc\u00ea sai do Minist\u00e9rio do Trabalho. Voc\u00ea tinha a senha. Voc\u00ea \u00e9 uma pessoa correta, mas a\u00ed foi para outro minist\u00e9rio, pediu exonera\u00e7\u00e3o, aposentou, saiu. A pessoa n\u00e3o tem o cuidado, e nem \u00e9 culpa dela, o \u00f3rg\u00e3o que deveria comunicar. Quando voc\u00ea sai, algu\u00e9m, por algum motivo, intercepta a sua senha \u2013porque ela \u00e9 simples\u2013 fica usando, baixando dados para outras coisas”, afirma.<\/p>\n
O roubo de senhas foi o artif\u00edcio usado por fraudadores em outro epis\u00f3dio: a invas\u00e3o do Siafi, sistema de pagamentos da Uni\u00e3o. Criminosos acessaram a plataforma com senhas de servidores no gov.br e desviaram pelo menos R$ 15 milh\u00f5es, como revelou a Folha. At\u00e9 hoje, o caso segue sem solu\u00e7\u00e3o.<\/p>\n
Segundo Stefanutto, o acesso ao Suibe j\u00e1 foi restabelecido sob novas regras, que exigem acesso com VPN e uso de certificado digital emitido pelo Serpro, empresa de tecnologia do governo federal.<\/p>\n
O n\u00famero de senhas tamb\u00e9m est\u00e1 restrito: foram autorizados 11 acessos, requeridos por cinco \u00f3rg\u00e3os: Pol\u00edcia Federal, CGU (Controladoria-Geral da Uni\u00e3o), TCU (Tribunal de Contas da Uni\u00e3o) e os minist\u00e9rios do Desenvolvimento Social e Agricultura.<\/p>\n
“Se o minist\u00e9rio precisar, vamos fazer um procedimento formal e vai ficar guardado digitalmente. A\u00ed eu tenho o controle e o compromisso do minist\u00e9rio de que, se a pessoa sair, n\u00e3o pode derrubar s\u00f3 as senhas internas. [Vai ter que derrubar] As senhas externas tamb\u00e9m”, diz.<\/p>\n
O presidente do INSS afirma ainda ter atuado para corrigir outras vulnerabilidades, como a possibilidade de servidores do \u00f3rg\u00e3o acessarem o sistema de concess\u00e3o de benef\u00edcios apenas com usu\u00e1rio e senha. A institui\u00e7\u00e3o tamb\u00e9m passou a cobrar o uso do certificado digital.<\/p>\n
“Claro que \u00e9 grave. Qualquer coisa que envolva a senha digital \u00e9 grave. Deveria ter um controle maior. E \u00e9 isso que a gente fez: corrigiu”, diz.<\/p>\n