A Dataprev confirmou nesta terça-feira (26) que o incidente de segurança do INSS em abril expôs dados de 2,8 milhões de CPFs — número superior à estimativa inicial de 2 milhões divulgada na semana passada.
Do total afetado, 98% pertenciam a pessoas já falecidas. Cerca de 52 mil pessoas vivas tiveram a data de nascimento acessada durante a brecha.
A falha foi identificada no sistema Meu INSS e durou apenas um dia antes de ser corrigida, segundo representante da empresa estatal.
Como a falha funcionou no Meu INSS
O representante da Dataprev no Conselho Nacional da Previdência Social, Edmar dos Santos Ferreira Junior, explicou que o problema estava em uma consulta dentro da interface logada do aplicativo. O sistema aceitava respostas sem nenhuma autenticação, como se o usuário estivesse em ambiente público — mesmo estando dentro de uma área restrita.
“Era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você tivesse em um ambiente público”, disse Ferreira na reunião desta terça-feira.
Segundo o representante, o incidente durou um dia. O erro foi corrigido assim que identificado, em 22 de abril, pela própria Dataprev.
Atualização em desenvolvimento
Além da correção já aplicada, a Dataprev está desenvolvendo uma atualização que vai restringir a apenas um usuário a consulta de cada CPF por vez — medida projetada para dificultar varreduras em massa como a que originou o incidente.
O INSS minimizou os riscos práticos, destacando que a concessão de empréstimos consignados e pensões por óbito exige documentos e procedimentos que vão muito além da simples consulta de dados cadastrais.
Número revisado supera estimativa inicial
Na semana passada, quando o caso veio a público, técnicos do INSS haviam estimado inicialmente cerca de 2 milhões de CPFs expostos — número que a Dataprev agora revisou para 2,8 milhões após consolidar os dados do incidente de abril.
O alto percentual de falecidos entre os afetados tem raízes estruturais. Uma auditoria do TCU revelou que há quase 350 mil CPFs de centenários a mais do que a população brasileira — indício de que a base cadastral acumula registros de pessoas mortas cujo cadastro nunca foi efetivamente cancelado.
Histórico de vulnerabilidades
Não é a primeira vez que a segurança dos sistemas previdenciários é colocada em xeque. Em 2024, o INSS confirmou outra vulnerabilidade que deixou expostas informações sigilosas de aposentados e beneficiários de programas sociais e assistenciais.
O padrão de falhas recorrentes reacende o debate sobre a robustez da infraestrutura tecnológica do governo federal para proteger dados sensíveis de dezenas de milhões de cidadãos.