Caso não consiga visualizar este e-mail clique aqui


165 / 2024

26/06/2024
VAZAMENTO DE INFORMAÇÕES DE BENEFICIÁRIOS DO INSS

 

Recentemente, dados sigilosos de milhões de beneficiários do INSS (Instituto Nacional do Seguro Social) com aposentadorias e benefícios sociais e assistenciais ficaram expostos a usuários externos, que puderam acessar essas informações sem o devido controle do órgão. Esta falha de segurança levou ao desligamento do Sistema Único de Informações de Benefícios (Suibe) no início de maio, paralisando a produção de estatísticas da Previdência Social.

Embora o INSS não tenha provas concretas de vazamento de dados, há um histórico de reclamações de segurados contatados por instituições financeiras antes mesmo de receberem comunicados oficiais do INSS, evidenciando a fragilidade na governança dos dados, que deixou vulneráveis as informações de 39,5 milhões de beneficiários.

Segundo o INSS, gestões passadas firmaram acordos de cooperação com órgãos governamentais que também tinham acesso aos dados, sem controle sobre as senhas concedidas anteriormente. O sistema Suibe, antes acessível por senha e login, teve sua política de segurança atualizada, passando a exigir certificado digital, criptografia e validação de duas etapas por VPN.

O incidente envolveu a exposição de dados detalhados sobre todos os benefícios deferidos, incluindo informações cadastrais dos beneficiários, espécie do benefício, valor devido e data de concessão. Centenas de senhas foram concedidas a usuários externos ao longo das décadas, sem revisão de autorização e controle adequado para revogação de senhas de usuários que deixaram o órgão, aumentando o risco de fraude. Nas mãos de criminosos, essas informações podem ser usadas para direcionar ações fraudulentas, como a oferta de produtos financeiros sem o consentimento do beneficiário.

Os problemas identificados incluem a falta de controle de acesso, com ausência de mecanismos para revogação de acesso após a saída de servidores ou usuários externos, e segurança frágil, com acessos realizados apenas com usuário e senha, sem autenticação de dois fatores ou uso de VPN. Há suspeitas de que alguns servidores da Previdência possam ter colaborado com o vazamento, vendendo informações para instituições financeiras.

Para solucionar esses problemas, a Dataprev, empresa de tecnologia do governo federal responsável pelo Suibe, está implementando medidas para melhorar a segurança dos dados, incluindo a autenticação de dois fatores e uso de VPN para acessos. Além disso, o INSS está revisando e fortalecendo suas políticas de governança de dados.

A Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo - FecomercioSP tem debatido com sua assessoria técnica e órgãos de trabalho sobre o crescimento exponencial de golpes, fraudes e crimes cibernéticos, inclusive propondo medidas para a Política Nacional de Cibersegurança. A proteção de seus dados é essencial para evitar fraudes e garantir a segurança dos beneficiários do INSS. É  fundamental manter-se informado e adotar práticas seguras para minimizar os riscos de vazamento de informações pessoais, conforme dicas abaixo:

  • Monitore os seus benefícios: Verifique regularmente o seu extrato de benefícios no portal “Meu INSS” (clique aqui) e fique atento a quaisquer atividades suspeitas.
  • Cuidado com ligações e ofertas: Desconfie de ligações oferecendo produtos financeiros, como empréstimos consignados, sem que você tenha solicitado. Verifique a autenticidade das ofertas diretamente com seu banco utilizado. Instituição financeira não liga pedindo informações pessoais e dados como senhas e códigos.
  • Cuidado com o golpe do 0800: O golpe do 0800 é uma fraude cibernética em que os golpistas usam números de telefone falsos começando com "0800" para se passar por instituições financeiras, órgãos governamentais ou empresas conhecidas. Esses números são projetados para parecer autênticos, induzindo as vítimas a acreditarem que estão recebendo uma chamada legítima. Se a vítima fornecer as informações solicitadas por essa falsa central de atendimento, podem ter seus dados usados em transações fraudulentas, contratação de empréstimos em nome da vítima ou acesso a contas bancárias.
  • Não clique em links recebidos por e-mails e mensagens de texto: golpistas frequentemente se passam por instituições financeiras legítimas e enviam links que parecem autênticos. Clicar nesses links pode comprometer suas informações pessoais. Seja cauteloso e verifique a autenticidade das mensagens antes de tomar qualquer ação.
  • Atualização periódica das senhas: Utilize senhas fortes e únicas para acessar o portal “Meu INSS” e outros serviços online. Evite usar a mesma senha em múltiplos sites. Uma senha forte contempla letras maiúsculas e minúsculas, caracteres e números.
  • Ativar a autenticação de dois fatores: Sempre que possível, ativar a autenticação de dois fatores para adicionar uma camada extra de segurança aos seus acessos.
  • Relatar atividades suspeitas: caso haja suspeita de que as suas informações foram comprometidas, entre em contato com o INSS e com a instituição financeira envolvida para relatar o incidente e tomar as medidas necessárias.
  • Educação e conscientização: Participe de programas de educação em segurança digital para entender melhor como proteger seus dados pessoais. A FecomercioSP vem desenvolvendo uma série de conteúdos para orientar sobre os riscos e os cuidados que devem ser adotados pelos usuários.
  • Use software de segurança: Instale e mantenha atualizado um software de segurança em seu computador e dispositivos móveis para prevenir acessos não autorizados.
  • Mantenha a atualização de todos os aplicativos e sistemas operacionais em dia: Essa medida é fundamental para evitar eventual vazamento de dados, considerando que as atualizações visam reforçar a segurança, corrigindo eventuais vulnerabilidades.

 

Atenciosamente,

Assessoria

FecomercioSP.