Brasil
Milhões de dados de beneficiários do INSS ficaram expostos e foram acessados sem controle
Instituto Nacional do Seguro Social (INSS)
Órgão concedeu centenas de senhas a servidores de outros ministérios, mas não revogou acessos de quem deixou o cargo
Dados sigilosos de milhões de beneficiários do INSS (Instituto Nacional do Seguro Social) ficaram expostos a usuários externos, que puderam acessar as informações sem o devido controle do órgão.
A descoberta levou ao desligamento do chamado Suibe (Sistema Único de Informações de Benefícios) no início de maio e paralisou a produção de estatísticas da Previdência Social.
A vulnerabilidade do sistema foi confirmada à Folha pelo presidente do INSS, Alessandro Stefanutto.
Segundo ele, o instituto acumulou um estoque de centenas de senhas —o órgão não divulgou o número exato— concedidas a usuários externos ao longo das últimas décadas e nunca revisou a autorização desses acessos.
O Suibe não permite conceder novos benefícios, mas contém informações de todos aqueles já deferidos, inclusive dados cadastrais dos beneficiários, espécie do benefício (se é uma aposentadoria ou auxílio-doença, por exemplo), valor devido e data de concessão, entre outros.
Ele é uma das principais fontes de dados para a produção do Beps (Boletim Estatístico da Previdência Social), relatório mensal detalhado das concessões e emissões de benefícios pagos pelo INSS. A edição mais recente disponível é de fevereiro de 2024.
Folha Mercado
Receba no seu email o que de mais importante acontece na economia; aberta para não assinantes.
Nas mãos de criminosos, esse repositório se converte em um ativo valioso para direcionar potenciais ações fraudulentas.
O INSS diz não ter provas concretas de que houve vazamento de dados do Suibe, mas o órgão acumula um histórico de reclamações de segurados que souberam da concessão do benefício por meio de terceiros.
Há relatos de instituições que entram em contato para oferecer produtos financeiros, como empréstimo consignado, antes mesmo de o beneficiário receber do INSS o comunicado oficial sobre a concessão.
“Uma fonte de vazamento, provavelmente, era lá, porque as pessoas roubam a senha dos outros. Alguém também decidiu ceder ao crime organizado. Daí vende isso para as financeiras, provavelmente. Por isso o cara liga para vender empréstimo consignado. Arranjou o telefone, arranjou tudo, porque lá tem dados cadastrais das pessoas”, afirma Stefanutto.
Ele diz acreditar na relação, porque as reclamações na ouvidoria envolvendo empréstimo consignado caíram a 405 em maio. Entre janeiro e março, a média foi de 943 registros de ocorrência por mês. Em abril, o número já havia recuado a 553.
Usuários externos do Suibe são servidores de outros ministérios ou representantes de órgãos que utilizam as informações da Previdência para desenvolver alguma tarefa —por exemplo, a AGU (Advocacia-Geral da União) recorre ao sistema para obter subsídios e defender a União em ações judiciais.
O problema, segundo o presidente do INSS, é que não havia controle para garantir a revogação da senha do usuário que deixasse o órgão ou a administração pública.
Os acessos também eram feitos por meio da entrada simples de usuário e senha, sem duplo fator de autenticação nem uso de VPN (ferramenta que limita o acesso a usuários de uma mesma rede privada, mais segura).
Ainda que o dono original da credencial não tenha tido a intenção de fazer mau uso do acesso, a conclusão do INSS é que a governança desses dados era frágil, deixando vulneráveis as informações de 39,5 milhões de beneficiários.
“Eu achava, honestamente, que isso estava numa governança melhor. Não quer dizer, porque você tem um portão aberto, que a casa vai ser roubada. Mas pode ser mais roubada do que com o portão fechado. O que eu fiz foi fechar o portão. Mandei suspender todos [os usuários externos]. Tirei da tomada, falei ‘reorganizem'”, afirma Stefanutto.
A solução tecnológica do Suibe é fornecida pela Dataprev, empresa de tecnologia do governo federal. Procurada, ela disse que “informações sobre o Suibe devem ser solicitadas ao INSS, órgão gestor do sistema”.
Segundo o presidente do INSS, o órgão não tem controle sobre quais informações e de quais beneficiários os usuários externos acessaram. O monitoramento é feito pelo volume de dados extraídos. Quando esse volume é muito elevado, o sistema dispara um alerta, e o endereço IP é bloqueado.
“Quando vieram me mostrar isso naquele dia, [disseram] ‘olha, hoje teve um IP que começou a querer puxar muito dado, foi bloqueado, já foi resolvido’, eu falei ‘quantas senhas externas tem?”, diz Stefanutto. A resposta de que eram centenas motivou a ordem para suspender todos os acessos.
O presidente do órgão reconhece que nunca havia se perguntado antes sobre quem tinha acesso ao repositório de dados. “Até então eu não sabia. Isso aí deve estar num acervo construído ao longo de décadas”, diz.
“Um caso fictício, mas que tem fundo de verdade: você sai do Ministério do Trabalho. Você tinha a senha. Você é uma pessoa correta, mas aí foi para outro ministério, pediu exoneração, aposentou, saiu. A pessoa não tem o cuidado, e nem é culpa dela, o órgão que deveria comunicar. Quando você sai, alguém, por algum motivo, intercepta a sua senha —porque ela é simples— fica usando, baixando dados para outras coisas”, afirma.
O roubo de senhas foi o artifício usado por fraudadores em outro episódio: a invasão do Siafi, sistema de pagamentos da União. Criminosos acessaram a plataforma com senhas de servidores no gov.br e desviaram pelo menos R$ 15 milhões, como revelou a Folha. Até hoje, o caso segue sem solução.
Segundo Stefanutto, o acesso ao Suibe já foi restabelecido sob novas regras, que exigem acesso com VPN e uso de certificado digital emitido pelo Serpro, empresa de tecnologia do governo federal.
O número de senhas também está restrito: foram autorizados 11 acessos, requeridos por cinco órgãos: Polícia Federal, CGU (Controladoria-Geral da União), TCU (Tribunal de Contas da União) e os ministérios do Desenvolvimento Social e Agricultura.
“Se o ministério precisar, vamos fazer um procedimento formal e vai ficar guardado digitalmente. Aí eu tenho o controle e o compromisso do ministério de que, se a pessoa sair, não pode derrubar só as senhas internas. [Vai ter que derrubar] As senhas externas também”, diz.
O presidente do INSS afirma ainda ter atuado para corrigir outras vulnerabilidades, como a possibilidade de servidores do órgão acessarem o sistema de concessão de benefícios apenas com usuário e senha. A instituição também passou a cobrar o uso do certificado digital.
“Claro que é grave. Qualquer coisa que envolva a senha digital é grave. Deveria ter um controle maior. E é isso que a gente fez: corrigiu”, diz.
Comentários
Tarifa para consumidores residenciais terá aumento de 22,9%; impacto médio no estado será de 24,13% e novos valores valem até 2027.
A conta de energia elétrica ficará mais cara em Roraima a partir deste domingo (25). A Agência Nacional de Energia Elétrica (Aneel) aprovou um reajuste tarifário que eleva em 22,9% as tarifas para consumidores residenciais de baixa tensão atendidos pela Roraima Energia.
Os novos valores passam a vigorar na data e permanecerão válidos até 24 de janeiro de 2027. Além do reajuste anual, os consumidores ainda poderão enfrentar cobranças adicionais nos períodos em que estiverem em vigor as bandeiras tarifárias, mecanismo utilizado para repassar custos extras quando a geração de energia no país se torna mais cara.
Para comércios, indústrias e grandes consumidores ligados à rede de alta tensão, o reajuste pode chegar a quase 29%, variando conforme o tipo de ligação. Em média, o impacto do aumento tarifário no estado será de 24,13%.
De acordo com a Aneel, o principal fator que motivou o reajuste é a integração de Roraima ao Sistema Interligado Nacional (SIN), que abastece a maior parte do território brasileiro. Antes dessa conexão, o estado operava de forma isolada, com geração própria de energia.
Em nota, a Roraima Energia informou que o reajuste tarifário é definido pela Aneel com base em regras nacionais e critérios técnicos, com o objetivo de garantir o equilíbrio econômico do serviço e o funcionamento adequado do sistema elétrico.
Comentários
O líder do PT na Câmara dos Deputados, Lindbergh Farias (PT-RJ), e o deputado Rogério Correia (PT-MG) protocolaram um pedido de providências à Prolícia Rodoviária Federal (PRF) para interromper a caminhada organizada pelo deputado Nikolas Ferreira (PL-MG), que segue de Paracatu (MG) até Brasília (DF), onde planeja chegar domingo (25/1).
No documento, os deputados afirmam que a manifestação ocorre em uma rodovia federal de tráfego intenso, com uso indevido do acostamento, invasão da pista de rolamento e indícios de pouso de helicópteros nas margens da estrada. Para eles, a situação configura uma conduta “grave, inaceitável e irresponsável”, que exige intervenção imediata do poder público.
Na segunda-feira (19/1), o parlamentar mineiro iniciou a chamada “caminhada pela liberdade”. Até agora, 22 parlamentares de direita se uniram a Nikolas.
Segundo os parlamentares petistas, o ato foi feito sem comunicação prévia às autoridades e expõe participantes e motoristas a riscos à vida e à integridade física.
“Eles podem se manifestar onde quiserem, mas não podem colocar em risco a vida das pessoas. Façam essa mobilização onde quiserem, mas não desse jeito, sem autorização e colocando vidas em perigo”, disse Lindbergh.
Fonte: Conteúdo republicado de METRPOLES - BRASIL
Comentários
O procurador-Geral da República, Paulo Gonet, arquivou pedido de deputados da oposição para que o ministro Dias Toffoli, do Supremo Tribunal Federal (STF), deixe a relatoria do Caso Master.
Os parlamentares representaram à PGR pedido de impedimento e suspeição para afastar Toffoli devido viagem realizada pelo ministro a Lima, no Peru, em 28 de novembro, em aeronave de advogado que trabalha para um dos investigados na ação.
Os deputados federais Adriana Miguel Ventura (Novo-SP), Carlos Jordy (PL-RJ) e Caroline de Toni (PL-SC) questionaram denúncias que colocam Toffoli na mesma aeronave em que estava o advogado Augusto Arruda Botelho, advogado do diretor de compliance do Master e investigado, Luiz Antônio Bull.
A PGR entendeu, no entanto, que “o caso a que se refere a representação já é objeto de apuração perante o Supremo Tribunal Federal, com atuação regular da Procuradoria-Geral da República. Não há, portanto, qualquer providência a ser adotada no momento”, disse Gonet no arquivamento, datado do último dia 15.
Mal-estar
- O Caso Master tem provocado mal-estar dentro do STF devido ao desgaste de imagem da Corte.
- Ainda assim, o ministro do STF Dias Toffoli tem comentado com pessoas próximas e com outros ministros que não cogita deixar a relatoria do caso Banco Master.
- Toffoli, segundo apurou o Metrópoles, reforçou a essas pessoas que não há motivos para se declarar impedido ou suspeito no inquérito que tramita na Corte, hoje alvo de críticas de alguns setores da política em Brasília.
- O ministro tem reiterado que sua condução no processo busca evitar alegações futuras de nulidade e que não há parcialidade na condução do caso — citando, inclusive, que avocou à Suprema Corte os processos relacionados ao tema justamente para evitar questionamentos posteriores.
Com as repercussões pela atuação no caso e com os recentes fatos publicados pelo Metrópoles na coluna de Andreza Matais acerca do Resort Tayayá, construído pela família do ministro, crescem as pressões para que o ministro deixe o caso. O presidente do STF, ministro Edson Fachin, antecipou a conclusão das férias para tratar da crise e tem conversado sobre um Código de Ética.
Toffoli tem sido pressionado ainda por segmentos da política e foi alvo de reclamações de delegados da Polícia Federal (PF), especialmente após a deflagração da segunda fase da Operação Compliance Zero, quando determinou que as provas obtidas na operação ficassem sob a guarda da Procuradoria-Geral da República (PGR), e não da autoridade policial.
Por decisão de Toffoli, quatro peritos da PF poderão acompanhar a extração de dados e a perícia das provas. Delegados, entretanto, avaliam que essa atribuição deveria caber ao setor responsável dentro da própria corporação, e não ao ministro. Um dos peritos indicados atuou no caso Lava Jato, e as investigações do caso foram prorrogadas por mais 60 dias.
Inquérito
Relator do processo na Corte, Toffoli concordou com pedido da PF para a prorrogação do inquérito, que tramita em sigilo.
“Trata-se de manifestação da autoridade policial, requerendo nova prorrogação do prazo para conclusão das investigações por mais 60 (sessenta) dias. Posto isso, considero que as razões apontadas para prorrogação, por mais 60 (sessenta) dias, devem ser deferidas”, escreveu o ministro em decisão de sexta-feira (16/1).
Os itens apreendidos, como telefones, computadores e outros aparelhos, inicialmente ficariam “lacrados” e “acautelados” na sede da Corte. Em seguida, no entanto, Toffoli mudou de entendimento e determinou que a custódia passasse à PGR.
Fonte: Conteúdo republicado de METRPOLES - BRASIL
Você precisa fazer login para comentar.