Dataprev confirma vazamento no INSS: 2,8 milhões de CPFs expostos e 52 mil segurados vivos em risco

Um vazamento de dados no INSS revelado em 27 de maio de 2026 expôs informações de 2,8 milhões de segurados. Embora a maioria dos registros pertença a pessoas já falecidas, a Dataprev confirmou que 52 mil beneficiários ativos tiveram seus dados pessoais comprometidos. A falha gerou alerta máximo entre especialistas em segurança, pois fraudes envolvendo CPFs aumentaram 35% no último ano, segundo a Serasa Experian. A seguir, entenda como o incidente foi descoberto, quais informações foram divulgadas e o que você pode fazer para minimizar riscos.

Como o vazamento foi identificado

O episódio veio à tona quando pesquisadores independentes detectaram uma base com milhões de registros do INSS circulando em fóruns de hackers. Eles notificaram a Autoridade Nacional de Proteção de Dados (ANPD) em 20 de maio. Dois dias depois, um teste interno da Dataprev apontou similaridades com seus backups, indicando comprometimento de um servidor legado usado para conciliar óbitos.

Em nota, a estatal informou que o acesso indevido ocorreu entre 10 e 14 de abril, durante uma janela de manutenção. Logs mostram conexões oriundas da Europa Oriental utilizando credenciais administrativas obtidas por phishing. “Não houve sequestro de sistema, apenas cópia não autorizada”, explicou Marco Túlio Pereira, diretor de TI da Dataprev.

A ANPD abriu procedimento preliminar e solicitou comunicação formal aos titulares afetados em até dez dias, conforme prevê a Lei Geral de Proteção de Dados (LGPD).

Quais dados dos segurados ficaram expostos

Segundo relatório técnico, o pacote vazado contém cerca de 4 GB e inclui:

• Nome completo, CPF e data de nascimento;
• Número do Benefício (NB) e tipo de prestação (aposentadoria, pensão, BPC, etc.);
• Endereço de correspondência e telefone fixo ou celular;
• Data de concessão e valor bruto do benefício em abril/2026.

Não há indícios de vazamento de senhas nem de dados bancários, pois essas informações ficam armazenadas em plataforma separada, segundo a Dataprev. Mesmo assim, especialistas alertam que a combinação de CPF, nome e contatos facilita fraudes como abertura de contas, contratação de empréstimos e golpes via WhatsApp.

Impacto para os 52 mil beneficiários vivos

Dos 2,8 milhões de CPFs expostos, apenas 52 mil pertencem a segurados que ainda recebem mensalmente do INSS. Esse grupo concentra:

• 38 mil aposentados por idade ou tempo de contribuição;
• 9 mil pensionistas por morte;
• 5 mil beneficiários do BPC/Loas.

Para eles, o vazamento de dados no INSS representa risco direto de:

• Golpes de empréstimo consignado não solicitado;
• Falsas atualizações de cadastro via telefone;
• Clonagem de WhatsApp com engenharia social.

“Em 2025, 62% das tentativas de fraude financeira usaram CPFs de idosos”, lembra Bruno Fonseca, analista sênior da FEBRABAN.

O INSS suspendeu temporariamente a funcionalidade de contratação de crédito consignado pelo aplicativo Meu INSS até concluir a varredura de segurança.

Medidas adotadas pela Dataprev e INSS

Após confirmar o incidente, a Dataprev informou uma série de ações emergenciais:

• Reset de todas as senhas administrativas com autenticação em dois fatores;
• Isolamento do servidor afetado e migração dos backups para nuvem privada;
• Contratação da empresa Kroll para perícia forense independente;
• Envio de e-mails, SMS e cartas registradas aos titulares impactados.

Paralelamente, o INSS criou um canal exclusivo no telefone 135, opção 7, para esclarecer dúvidas de quem recebeu notificação. O Ministério da Previdência solicitou apoio da Polícia Federal para rastrear os responsáveis.

A ANPD poderá aplicar multa de até 2% do faturamento da Dataprev, limitada a R$50 milhões por infração, caso conclua que houve falhas de governança.

Orientações de segurança para quem teve o CPF vazado

Embora o incidente envolva dados essencialmente cadastrais, é recomendável adotar precauções:

• Ativar verificação em duas etapas na conta gov.br;
• Consultar Registrato do Banco Central para checar dívidas e contas abertas;
• Monitorar score e alertas gratuitos em plataformas como Serasa Limpa Nome;
• Desconfiar de ligações pedindo atualização de dados bancários ou senha do cartão;
• Registrar boletim de ocorrência digital se notar movimentação suspeita.

Beneficiários podem ainda solicitar Alerta de Documentos no Serasa, serviço sem custo que avisa lojistas sobre possíveis fraudes envolvendo o CPF.

Papel da ANPD e possíveis sanções

De acordo com a LGPD, empresas públicas ou privadas devem comunicar vazamentos em até dois dias úteis após sua confirmação. A Dataprev foi notificada às 10h de 23 de maio, portanto cumpriu o prazo. Mesmo assim, a ANPD analisará se:

• Os controles de acesso eram adequados;
• Havia criptografia nos arquivos;
• O plano de resposta a incidentes foi eficaz.

Dependendo do resultado, a estatal pode receber advertência, multa variável ou obrigação de publicizar a falha em meios de grande circulação. Se constatada negligência grave, dirigentes podem responder por improbidade administrativa.

Como se proteger de futuros vazamentos

Casos como o vazamento de dados no INSS tendem a se tornar mais frequentes. Veja práticas recomendadas:

• Mantenha softwares e antivírus atualizados em todos os dispositivos;
• Use gerenciadores de senha e evite reutilizar combinações fracas;
• Prefira canais oficiais e verifique URLs antes de inserir dados pessoais;
• Ative avisos de movimentação em contas bancárias e cartões;
• Acompanhe notícias da ANPD para saber de novos incidentes.

A cultura de privacidade ainda é recente no Brasil, mas tende a amadurecer com a LGPD e a exigência de melhores práticas pelas organizações. Ficar atento às comunicações oficiais do INSS e da Dataprev é o primeiro passo para reduzir possíveis prejuízos.

Para mais informações, acesse o portal gov.br/anpd ou ligue 135, opção 7. Cuide de seus dados e compartilhe este conteúdo para que outros beneficiários também saibam como agir.