Uma vulnerabilidade de segurança expôs dados de milhões de beneficiários do INSS (Instituto Nacional do Seguro Social) aos olhos de agentes externos.
Como contramedida, o instituto atualizou o modo de acesso ao sistema SUIBE (Sistema Único de Informações de Benefícios) e está investigando se ocorreu exfiltração de dados pela plataforma.
O presidente do INSS, Alessandro Stefanutto, reconheceu a falha de segurança: ao longo dos anos, o instituto forneceu senhas a usuários externos, sem tomar ações efetivas para revogar esses acessos posteriormente.
Isso possibilitava que indivíduos que já não desempenhavam suas funções mantivessem o acesso ao sistema, sem a necessidade de autenticação multifator.
Por conta dessa brecha, há suspeitas de que agentes mal-intencionados tenham aproveitado o acesso ao SUIBE para obter dados cadastrais dos beneficiários e realizar atividades fraudulentas, como a contratação de empréstimos consignados sem autorização dos titulares.
Em comunicado, o INSS divulgou as medidas adotadas para fortalecer a segurança no acesso ao SUIBE, diante do crescimento das solicitações de informações.
A autenticação simplificada via login e senha foi substituída por uma combinação de certificado digital e criptografia, a fim de assegurar a proteção dos dados.
Adicionalmente, o instituto enfatiza que o SUIBE não é capaz de conceder novos benefícios, servindo apenas como registro de pedidos já realizados, e que há uma equipe dedicada a averiguar se houve vazamento dos dados.
Segue a declaração na íntegra:
O INSS informa que, devido ao aumento no número de solicitações de informações - observado pelos departamentos de monitoramento do INSS e da Dataprev -, o acesso ao SUIBE, anteriormente viabilizado por login e senha por outros órgãos e servidores, agora necessita de certificado digital e criptografia.
Esta mudança marca o SUIBE como o primeiro sistema do INSS a adaptar-se às novas políticas de segurança tecnológica que começarão a ser aplicadas a partir de 2024.
É relevante mencionar que os sistemas responsáveis pela concessão de benefícios já contam com esta atualização de segurança.
É importante ressaltar que o SUIBE não autoriza a concessão de novos benefícios, contendo apenas dados de solicitações já efetuadas.
As equipes do INSS estão em processo de análise para determinar se ocorreu, de fato, a divulgação indevida de informações.
Embora o INSS não confirme explicitamente a fonte do vazamento, é fortemente sugerido que o SUIBE seja o responsável.
Desde a desativação temporária do sistema, realizada em maio deste ano, houve uma notável diminuição nas queixas registradas na ouvidoria sobre empréstimos consignados: a média mensal de reclamações era de 943 entre janeiro e março, caindo para 405 em maio, conforme reportado pelo presidente do instituto.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...