Ataque cibernético em plataforma do INSS pode ter vazado dados de 39 milhões de brasileiros

O sistema de Cadastrar Comunicação de Acidente de Trabalho (CAT), que é ligado ao INSS, sofreu um ataque cibernético ontem (04). O ataque pode ter feito com que dados pessoais de 39 milhões de usuários vazassem na internet.

O CAT é um serviço online que serve para empresas comunicarem um acidente de trabalho, de trajeto, doença ocupacional ou morte. O próprio trabalhador ou familiares podem utilizar o sistema caso o empregador não preste as informações.

• Confira: Dados de brasileiros vazam após ataque na Pirelli

De acordo com o perfil HackManac, no X (antigo Twitter), o suposto cibercriminoso publicou a ação em um fórum. Identificado como “Sorb”, ele escreveu que o sistema tinha uma grande brecha de segurança e através desta vulnerabilidade que o ataque foi realizado.

??Data Breach Alert ??

????Brazil - Cadastrar Comunicação de Acidente de Trabalho (CAT)

A potential data breach of the Cadastrar Comunicação de Acidente de Trabalho (CAT) service has been detected on a hacking forum: 33 million user records have reportedly been affected.… pic.twitter.com/hNcyZZq1bS

— HackManac (@H4ckManac) February 5, 2025

Em seu relato, o suposto atacante ainda debocha da empresa de cibersegurança que cuida dos sistemas. Sorb diz ter avisado os responsáveis, mas nenhuma medida teria sido tomada.

“Eu oficialmente declaro que eles não conseguiram resolver o problema, nem assumiram a responsabilidade, caso contrário esse post não existiria”, diz.

• Leia também: Painel do crime vende páginas falsas de Nubank, Itaú, Bradesco e outros

O suposto vazamento afetou uma quantidade de cerca de 88 GB de dados, incluindo:

• Nome da empresa;
• CNPJ da empresa;
• Número telefônico das empresas;
• Nome completo dos trabalhadores;
• Sexo;
• Número da Carteira de Trabalho e Previdência Social (CTPS);
• CPF;
• Número de celular do trabalhador;
• E-mail do trabalhador;
• Código do registro de acidente de trabalho.

Outro lado

O TecMundo entrou em contato com o INSS para verificar a veracidade do ataque e quais medidas seriam tomadas e a resposta foi enviada pela Dataprev. A Dataprev é uma empresa pública brasileira que tem dentre as atribuições gerir bases de dados do país).

A entidade informou que "está investigando possíveis eventos de segurança relacionados ao sistema de Comunicação de Acidente de Trabalho (CAT)". De acordo com o Dataprev, até esta sexta-feira (07) não havia sido identificado "comprometimento que suporta este sistema na Dataprev".

"A Dataprev reforça seu compromisso com a transparência e a proteção dos dados sob sua guarda e trabalha com protocolos rigorosos e em conjunto com seus clientes para assegurar a segurança de seus sistemas", finalizou o órgão público.

*Matéria atualizada em 07/02/2025, às 18h10, com a nota da Dataprev.