Dataprev confirma vazamento no Meu INSS: 2,8 milhões de CPFs expostos, maioria de falecidos

Falha silenciosa, alcance milionário

Um erro de autenticação no aplicativo Meu INSS permitiu que, em 22 de abril de 2026, dados de 2,8 milhões de cadastros de previdência social fossem consultados sem qualquer credencial de acesso. A falha durou apenas um dia, mas foi suficiente para expor CPFs e datas de nascimento de uma base volumosa de beneficiários do Instituto Nacional do Seguro Social. A confirmação oficial veio na terça-feira, 26 de maio, quando representantes da Dataprev — empresa estatal que gerencia os sistemas de dados previdenciários — apresentaram os números ao Conselho Nacional de Previdência Social (CNPS).

Perfil das vítimas: maioria não está mais entre nós

Dos 2,8 milhões de registros acessados indevidamente, aproximadamente 98% pertencem a pessoas já falecidas. Ainda assim, o restante representa um contingente expressivo: cerca de 52 mil beneficiários vivos tiveram suas datas de nascimento expostas. Segundo a Dataprev, a falha estava localizada em uma área do aplicativo que, embora estruturalmente inserida em uma interface autenticada, aceitava requisições de consulta em ambiente público, isto é, sem exigir login. Conforme declaração do representante da empresa ao CNPS, "era uma consulta que estava dentro de uma interface logada, mas ela aceitava uma resposta para quando você estivesse em um ambiente público."

Sem fraudes financeiras confirmadas, mas alerta permanece

A Dataprev foi categórica ao informar que o incidente não resultou em pagamentos indevidos de benefícios nem na contratação automática de empréstimos consignados — dois dos vetores de fraude mais comuns associados a dados previdenciários. A correção do erro foi implementada imediatamente após sua identificação. Além disso, a empresa anunciou que uma atualização sistêmica está sendo desenvolvida para restringir as consultas por CPF a um único usuário de cada vez, reduzindo a superfície de ataque para futuras tentativas de enumeração em massa. A Autoridade Nacional de Proteção de Dados (ANPD) também foi notificada sobre o incidente, conforme prevê a Lei Geral de Proteção de Dados (LGPD).

Contexto de vulnerabilidade institucional

O caso ocorre num momento em que os sistemas previdenciários brasileiros já enfrentam escrutínio redobrado. A exposição de dados — mesmo que majoritariamente de pessoas falecidas — levanta questões sobre os protocolos de segurança em aplicativos governamentais de alta sensibilidade. Dados de falecidos, embora não representem risco direto às próprias pessoas, podem ser explorados em esquemas de fraude de identidade, abertura de contas laranja e tentativas de habilitação de benefícios irregulares. A transparência da Dataprev ao divulgar os números ao CNPS é considerada positiva por especialistas em governança de dados, mas a exposição em si reforça a necessidade de auditorias contínuas em interfaces de acesso público de plataformas estatais.

Fonte: Olhar Digital — publicado em 27 de maio de 2026. Corroborado por Jornal de Brasília, Tribuna do Sertão e Imirante.