Vazamento no INSS expõe 2,8 milhões de CPFs; 98% pertencem a pessoas falecidas

Brecha deixou dados de quase três milhões de pessoas acessíveis por um dia

Uma falha de segurança identificada no sistema de consultas do aplicativo "Meu INSS" expôs os dados de 2,8 milhões de CPFs brasileiros em abril de 2026, conforme confirmado pela Dataprev, empresa estatal responsável pelo processamento das informações previdenciárias. O incidente, que durou apenas um dia — com data precisa de 22 de abril —, veio a público somente no final de maio, gerando preocupação entre especialistas em segurança digital e autoridades de proteção de dados.

Maioria das vítimas já havia falecido

Apesar da dimensão expressiva do número total de registros comprometidos, a maior parte dos afetados não está mais em vida: 98% dos CPFs expostos pertencem a cidadãos falecidos. Ainda assim, aproximadamente 52 mil beneficiários vivos tiveram seus dados — incluindo CPF e data de nascimento — acessados indevidamente durante o período em que a vulnerabilidade permaneceu aberta. A ANPD foi acionada imediatamente após a descoberta da brecha, em conformidade com as obrigações previstas pela Lei Geral de Proteção de Dados (LGPD).

Falha técnica permitia acesso sem autenticação

Segundo a Dataprev, o problema técnico residia em uma inconsistência no mecanismo de autenticação do sistema de consultas: embora a interface exigisse login para realizar buscas, o módulo responsável por retornar as respostas aceitava requisições provenientes de ambientes públicos, sem verificar se o usuário estava de fato autenticado. Em outras palavras, qualquer pessoa com conhecimento técnico suficiente poderia obter informações cadastrais sem precisar se identificar. A falha foi corrigida assim que identificada, e a empresa anunciou que uma atualização adicional está sendo desenvolvida para restringir o número de consultas simultâneas de CPF por usuário.

Risco de fraudes e histórico de incidentes

Especialistas em segurança alertam que dados como CPF e data de nascimento, mesmo de pessoas falecidas, podem ser explorados em esquemas de fraude e golpes financeiros — sobretudo porque esses registros são frequentemente utilizados como credenciais em sistemas de autenticação. O governo, por sua vez, assegurou que nenhum benefício foi pago de forma irregular em decorrência do episódio, ressaltando que a aprovação de pagamentos no INSS envolve camadas adicionais de validação, como certidões e verificações procedimentais. O incidente de abril de 2026 não é isolado: o próprio INSS reconheceu que situação semelhante já havia ocorrido em 2024, o que reacende o debate sobre a robustez da infraestrutura de TI das autarquias previdenciárias brasileiras.

Transparência tardia e próximos passos

O intervalo de aproximadamente cinco semanas entre a ocorrência da falha (22 de abril) e sua divulgação pública (final de maio) deve ser avaliado pelas autoridades competentes, especialmente pela ANPD, que tem o papel de fiscalizar o cumprimento dos prazos e procedimentos estabelecidos pela LGPD em casos de incidentes de segurança. Para os cerca de 52 mil beneficiários vivos afetados, a recomendação é monitorar extratos bancários, checar o Cadastro Positivo e acionar o suporte do INSS em caso de qualquer movimentação suspeita vinculada ao CPF.

Fonte original: Agência Brasil – Vazamento de dados no INSS atingiu 2,8 milhões de CPFs; 98% de pessoas falecidas