Uma falha de segurança no Sistema Único de Informações de Benefícios
(Suibe) do Instituto Nacional do Seguro Social (INSS) expôs dados de
milhões de beneficiários a usuários externos e permitiu acessos sem
controle às informações.
O problema foi tão grave que levou à desativação do sistema no início
de maio, o que interrompeu a produção de estatísticas da Previdência
Social. Alessandro Stefanutto, presidente do INSS, confirmou a
vulnerabilidade.
Stefanutto explicou para a reportagem da Folha de S. Paulo que, ao
longo dos anos, o instituto acumulou centenas de senhas concedidas a
usuários externos sem revisar essas autorizações.
Embora o Suibe não permita a concessão de novos benefícios, ele
contém dados sensíveis de todos os benefícios já deferidos, como
informações cadastrais, tipo de benefício, valor e data de concessão.
Este sistema é crucial para o Boletim Estatístico da Previdência
Social (Beps), cuja última edição disponível é de fevereiro de 2024.
Possibilidade de fraudes
Nas mãos erradas, esses
dados podem ser usados para fraudes. Embora o INSS não tenha provas de
vazamento, há relatos de segurados que souberam da concessão de
benefícios por terceiros e de instituições oferecendo produtos
financeiros antes do comunicado oficial do INSS.
“Uma fonte de vazamento provavelmente era lá, porque as pessoas
roubam a senha dos outros”, disse Stefanutto. “Alguém também decidiu
ceder ao crime organizado. Daí vende isso para as financeiras,
provavelmente”.
Os usuários externos do Suibe incluíam servidores de outros
ministérios e representantes de órgãos que utilizam dados da Previdência
para suas atividades. O problema, segundo Stefanutto, era a falta de
controle para revogar as senhas de usuários que deixavam o órgão ou a
administração pública. Além disso, os acessos eram feitos apenas com
usuário e senha, sem autenticação dupla ou VPN.
Falta de controle e autenticação inadequada
A
Dataprev, fornecedora da tecnologia do Suibe, afirmou que “informações
sobre o Suibe devem ser solicitadas ao INSS, órgão gestor do sistema”.
Stefanutto informou que o INSS não controla quais informações foram
acessadas por usuários externos, monitorando apenas o volume de dados
extraídos. Quando um volume elevado é detectado, o sistema bloqueia o
endereço IP.
“Quando vieram me mostrar isso naquele dia, [disseram] ‘olha, hoje
teve um IP que começou a querer puxar muito dado, foi bloqueado, já foi
resolvido’, eu falei ‘quantas senhas externas tem?”, disse Stefanutto.
A resposta motivou a suspensão de todos os acessos. Ele reconhece que
nunca havia se perguntado antes sobre quem tinha acesso ao repositório
de dados. “Até então, eu não sabia; isso aí deve estar num acervo
construído ao longo de décadas”, afirmou.
Medidas tomadas depois de a descoberta da falha
O
acesso ao Suibe já foi restabelecido sob novas regras, exigindo VPN e
certificado digital emitido pelo Serpro. Agora, apenas 11 acessos foram
autorizados para cinco órgãos: Polícia Federal, CGU, TCU e os
ministérios do Desenvolvimento Social e Agricultura.
“Se o ministério precisar, vamos fazer um procedimento formal e vai
ficar guardado digitalmente”, disse Stefanutto. “Aí eu tenho o controle e
o compromisso do ministério de que, se a pessoa sair, não pode derrubar
só as senhas internas.”
Stefanutto também mencionou a correção de outras vulnerabilidades,
como a exigência de certificado digital para acessos ao sistema de
concessão de benefícios.
“Claro que é grave; e qualquer coisa que envolva a senha digital é
grave e deveria ter um controle maior”, admitiu. “E foi isso que a gente
fez: corrigiu”.
Fonte: Revista Oeste
