Vazamento no Meu INSS atingiu 2,8 milhões de CPFs; 98% eram de falecidos e 52 mil vivos tiveram datas de nascimento expostas, diz Dataprev
Empresa estatal informou que erro durou um dia e já foi corrigido; atualização reduzirá consultas simultâneas por CPF
A Dataprev, empresa pública responsável pelo processamento de dados do Instituto Nacional do Seguro Social (INSS), informou que o vazamento de informações ocorrido em abril atingiu 2,8 milhões de CPFs. Segundo a empresa, 98% desses registros pertenciam a pessoas já falecidas. Cerca de 52 mil CPFs de pessoas vivas tiveram a data de nascimento exposta durante o incidente.
O que foi vazado e números atualizados
O balanço apresentado por Edmar dos Santos Ferreira Júnior na reunião do Conselho Nacional da Previdência Social eleva o número de CPFs impactados em relação à estimativa inicial do INSS, que falava em cerca de 2 milhões. A Dataprev também explicou que um mesmo CPF foi consultado mais de uma vez, o que pode inflar contagens por consultas, mas confirma o total de 2,8 milhões de CPFs acessados.
Como a falha ocorreu
Segundo a Dataprev, a origem do problema foi uma falha em uma consulta de serviço do aplicativo Meu INSS. A rotina deveria exigir autenticação por login, mas aceitava respostas válidas mesmo em um ambiente público — ou seja, a interface logada aceitava consultas sem passar pela etapa de segurança. O erro durou um dia e, ao ser identificado, foi corrigido imediatamente.
A empresa informou que está desenvolvendo uma atualização para os sistemas que limitará consultas, permitindo que apenas um usuário consulte um CPF por vez, como forma de reduzir o risco de futuras exposições em massa.
Medidas adotadas pelo INSS e recomendações
Em nota, o INSS afirmou que adotou providências e ressaltou que a maioria dos dados expostos pertence a falecidos. A autarquia também lembra que a concessão de benefícios e operações como empréstimo consignado exigem documentação e etapas adicionais — por exemplo, a pensão por morte depende de apresentação de certidão de óbito e outros processos de verificação.
Especialistas e órgãos de proteção de dados costumam recomendar que cidadãos monitorem o uso do CPF, ativem alertas em serviços de proteção ao crédito e denunciem qualquer tentativa de fraude às autoridades competentes. A Dataprev e o INSS informaram que reforçarão controles internos e atualizarão sistemas para reduzir riscos.
Contexto e histórico
O incidente foi identificado pela Dataprev em 22 de abril e divulgado na semana seguinte, quando surgiram as primeiras estimativas. O INSS já havia enfrentado, em 2024, outra vulnerabilidade que deixou expostas informações sigilosas de beneficiários.
Com a nova atualização e as medidas anunciadas, a Dataprev busca mitigar impacto e evitar recorrência. Ainda assim, o episódio reaviva debates sobre segurança de dados em órgãos públicos que administram informações sensíveis de milhões de brasileiros.
Fontes: Dataprev; INSS; reunião do Conselho Nacional da Previdência Social.
