Brecha no Meu INSS expôs 2,8 milhões de CPFs por um dia; 52 mil segurados vivos foram atingidos

Uma janela aberta por um dia

A Empresa de Tecnologia e Informações da Previdência (Dataprev) confirmou oficialmente que uma vulnerabilidade no aplicativo Meu INSS ficou ativa durante 22 de abril de 2026 e resultou na exposição não autorizada de 2,8 milhões de registros de CPF. A falha foi apresentada ao Conselho Nacional de Previdência Social (CNPS) em 26 de maio — mais de um mês depois de sua detecção —, e a Autoridade Nacional de Proteção de Dados (ANPD) foi formalmente notificada para acompanhar o caso.

A falha técnica: autenticação que não protegia

O problema estava em um trecho da interface de consulta do aplicativo que, apesar de estar inserido dentro de uma área logada, aceitava requisições originadas de ambientes públicos, sem exigir credencial válida. Em termos práticos, um erro de parametrização na camada de API permitia que qualquer pessoa obtivesse respostas do sistema sem passar pelo fluxo de autenticação padrão. A brecha permaneceu ativa por apenas um dia antes de ser identificada e corrigida pela Dataprev, que em seguida implantou controles adicionais para bloquear consultas simultâneas e em larga escala ao banco de dados.

Quem foi afetado e o que foi exposto

Do total de 2,8 milhões de CPFs comprometidos, cerca de 98% pertenciam a cidadãos já falecidos cadastrados na base previdenciária. Mesmo assim, aproximadamente 52 mil segurados vivos tiveram seus dados acessados de forma irregular. As informações expostas limitaram-se a números de CPF e datas de nascimento — nenhum dado bancário, senha ou informação de renda foi comprometido, segundo a Dataprev. O órgão também ressaltou que não houve liberação indevida de benefícios nem contratação automática de empréstimos consignados em decorrência do incidente, pois o INSS mantém múltiplas camadas de validação independentes para essas operações.

O intervalo de 35 dias e a questão da transparência

Um ponto que deve chamar a atenção de especialistas em proteção de dados é o lapso de 35 dias entre a detecção da brecha (22 de abril) e a sua divulgação pública (27 de maio). A LGPD e as diretrizes da ANPD estabelecem que incidentes de segurança com potencial impacto a titulares devem ser comunicados à autoridade regulatória em prazo razoável. A notificação à ANPD ocorreu, mas os detalhes sobre o momento exato dessa comunicação não foram esclarecidos pelo governo. O episódio acende o debate sobre a celeridade com que órgãos públicos informam a sociedade quando sistemas críticos sofrem falhas.

O que beneficiários devem observar

Embora o governo afirme que não houve dano financeiro direto, especialistas em segurança alertam que a combinação de CPF com data de nascimento é suficiente para tentativas de engenharia social, abertura de contas digitais fraudulentas ou ataques de credential stuffing em outros serviços. Segurados vivos que possam ter sido atingidos devem monitorar consultas ao CPF nos bureaus de crédito, verificar extratos do INSS e desconfiar de contatos não solicitados que invoquem dados previdenciários. O caso reforça a necessidade de auditorias contínuas nas APIs de serviços públicos, onde o volume de dados sensíveis é elevado e o impacto de uma falha pode ser massivo.

Fonte original: Portal Contábeis — Dataprev confirma vazamento de dados do INSS. Corroborado por Agência Brasil (EBC) e O Tempo.