Funcionário do DOGE roubou dados do Seguro Social e os copiou para um pendrive, diz relatório
Aprofundamento CEVIU
Aprofundamento
O caso envolve um ex-engenheiro de software do DOGE, braço operacional da iniciativa 'Departamento de Eficiência Governamental', criada sob a administração Trump e com forte atuação de Elon Musk, que teria copiado, em outubro de 2025, dois bancos de dados críticos da Administração da Segurança Social (SSA): o Numident (registro centralizado de todos os números de Seguro Social emitidos desde 1936) e o Master Death File (base com mais de 100 milhões de óbitos registrados, usada para prevenir fraudes em benefícios). Os dados incluem CPFs americanos (SSN), datas e locais de nascimento, nomes dos pais, raça, etnia e nacionalidade, informações que, se combinadas, permitem reconstrução de identidades completas para golpes de crédito, abertura de contas falsas ou clonagem de benefícios.
A SSA nega veementemente o roubo, mas o inspetor-geral já abriu investigação formal e notificou o Congresso. O fato de o engenheiro ter deixado a agência em outubro de 2025 e se juntado logo depois a uma empresa contratada pelo governo reforça riscos reais de transferência indevida de acesso privilegiado, especialmente porque ele teria dito a colegas ter 'nível Deus' nos sistemas da SSA, um termo técnico que remete a credenciais de administrador de sistema com permissão irrestrita de leitura, cópia e exportação de dados sensíveis.
Por que isso importa
Esse não é um vazamento isolado: é o terceiro incidente confirmado em seis meses envolvendo o DOGE e dados da SSA. Em janeiro de 2026, o Departamento de Justiça admitiu que o DOGE hospedou indevidamente dados da SSA em um servidor Cloudflare não autorizado; em agosto de 2025, houve denúncia de upload para ambiente de nuvem 'vulnerável'. Juntos, esses eventos revelam um padrão sistêmico de tratamento inadequado de dados altamente restritos, sem critérios técnicos de segregação, sem auditoria de acesso em tempo real e sem políticas claras de uso pós-emprego. Para empresas brasileiras que lidam com dados pessoais sob a LGPD, o caso serve como alerta prático: o maior risco não está no hacker externo, mas no funcionário com privilégios internos e sem supervisão contínua de atividades de exfiltração.
Perguntas frequentes
O que são Numident e Master Death File?
Numident é o banco de dados central da SSA com registros de todos os números de Seguro Social emitidos desde 1936, incluindo dados demográficos e de naturalização. Master Death File lista mais de 100 milhões de óbitos reportados à SSA, com SSN, data e local de morte, usado para bloquear pagamentos indevidos e combater fraude.
Por que o 'nível Deus' é tão perigoso?
É uma expressão técnica para contas de administrador com permissões totais: leitura, cópia, exportação e exclusão de qualquer dado no sistema. Sem controles de gravação (logging) ou alertas em tempo real, esse nível permite exfiltração silenciosa, como ocorreu com o pendrive, sem rastreamento automático.
A SSA realmente nega o roubo? Como isso afeta a investigação?
Sim, a SSA chamou as acusações de 'notícias falsas', mas o inspetor-geral da agência já abriu investigação formal e informou o Congresso. A negativa institucional não impede a apuração: o delator apresentou provas documentais à ouvidoria, e o caso está vinculado a processos judiciais anteriores que já comprovaram compartilhamento indevido de dados pelo DOGE.
O que muda para empresas brasileiras com a LGPD?
A LGPD exige controle rigoroso de acesso a dados pessoais (art. 46), registro de todas as atividades de tratamento (art. 48) e avaliação contínua de riscos (art. 49). Esse caso mostra que 'acesso privilegiado' sem monitoramento comportamental, como tentativas de exportação em massa, viola diretamente esses princípios, mesmo sem intenção maliciosa.
Fontes
- techcrunch.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 12 de março de 2026
- Editoria
- CEVIU Segurança da Informação
