CATEGORIA: Segurança de Dados
DATA: 26/08/2025 – 10h00
TÍTULO: Funcionários do DOGE Acusados de Copiar Base de Dados da Previdência Social para Nuvem Insegura
SLUG: funcionarios-doge-acusados-copiar-base-dados-previdencia-social-nuvem-insegura
CONTEÚDO:
Uma denúncia de irregularidade, apresentada por um alto funcionário da Administração da Previdência Social (SSA) dos Estados Unidos, aponta que representantes do DOGE teriam criado uma “cópia ativa das informações de seguridade social do país em um ambiente de nuvem que contorna a supervisão”. A acusação levanta sérias preocupações sobre a segurança dos dados de mais de 300 milhões de cidadãos americanos, conforme detalhado em um documento enviado a membros do Congresso e ao Escritório do Advogado Especial dos EUA.
O denunciante é Chuck Borges, o Diretor Chefe de Dados (CDO) da SSA. Segundo a organização sem fins lucrativos Government Accountability Project, que representa Borges, o CDO “tomou conhecimento, por meio de relatórios a ele, de graves falhas de segurança de dados, evidentemente orquestradas por funcionários do DOGE, atualmente empregados como funcionários da SSA, que colocam em risco a segurança dos dados de seguridade social de mais de 300 milhões de americanos”. A carta que formaliza a denúncia foi enviada recentemente, em 26 de agosto de 2025, a autoridades legislativas e de supervisão.
Detalhes da Denúncia e o Papel do Whistleblower
A denúncia de Chuck Borges, na qualidade de Diretor Chefe de Dados da SSA, é um evento significativo devido à sua posição estratégica dentro da agência. Como CDO, Borges é responsável pela estratégia de dados, governança, qualidade e segurança das informações. Sua alegação, portanto, carrega o peso de um especialista interno com conhecimento aprofundado dos sistemas e protocolos da Previdência Social. A revelação de que funcionários do DOGE, atuando dentro da própria SSA, estariam por trás dessas ações, adiciona uma camada de complexidade e preocupação interna.
O Government Accountability Project, uma organização conhecida por seu trabalho em proteger e apoiar denunciantes, assumiu a representação legal de Borges. A atuação de uma entidade externa e especializada em casos de denúncia sublinha a seriedade das alegações e a necessidade de um processo formal e protegido para a revelação de informações sensíveis. A carta enviada ao Congresso e ao Escritório do Advogado Especial é o meio formal pelo qual essas preocupações são levadas às instâncias de supervisão e investigação do governo federal, buscando uma apuração rigorosa e, se necessário, a responsabilização dos envolvidos.
O documento detalha que as “graves falhas de segurança de dados” não são meras negligências, mas sim ações “orquestradas” por funcionários específicos. Esta caracterização sugere uma intencionalidade nas ações que levaram à criação da cópia da base de dados. A natureza da denúncia, portanto, vai além de um simples erro operacional, apontando para uma possível violação deliberada de normas e procedimentos estabelecidos para a proteção de informações altamente confidenciais.
A Cópia Ativa da Base de Dados em Nuvem
O cerne da denúncia reside na alegação de que foi criada uma “cópia ativa de todas as informações de seguridade social do país” em um ambiente de nuvem. A expressão “cópia ativa” implica que os dados não são apenas um backup estático, mas uma réplica funcional e potencialmente atualizável da base de dados original. Tal cópia, se realmente existir e estiver operando fora dos controles habituais, representa um vetor de risco considerável para a integridade e confidencialidade das informações.
Ainda mais preocupante é a descrição de que este ambiente de nuvem “contorna a supervisão”. Isso significa que a cópia dos dados estaria fora do alcance dos mecanismos de controle, auditoria e segurança que normalmente regem os sistemas de informação da Previdência Social. A ausência de supervisão adequada pode expor os dados a vulnerabilidades, acessos não autorizados e manipulações indevidas, sem que os responsáveis pela segurança da SSA tenham conhecimento ou capacidade de intervir. O título do artigo original, que menciona um “sistema de nuvem inseguro”, reforça a percepção de que a falta de supervisão está diretamente ligada à fragilidade da segurança do ambiente.
A escala dos dados envolvidos é monumental: mais de 300 milhões de registros de seguridade social. Estes dados incluem informações pessoais sensíveis, como números de seguridade social, históricos de emprego, salários, e outros detalhes que, se caírem em mãos erradas, poderiam ser utilizados para fraudes de identidade, roubo de informações financeiras e outras atividades criminosas de grande impacto. A proteção desses dados é uma responsabilidade fundamental da SSA, e qualquer falha nesse quesito tem implicações diretas para a confiança pública na capacidade do governo de salvaguardar informações críticas dos cidadãos.
Contexto das Ações do DOGE e a Novidade da Denúncia
É amplamente conhecido que o DOGE buscou e obteve acesso a registros da Previdência Social em suas tentativas de encontrar evidências de fraude. Essa colaboração entre agências para combater fraudes é uma prática comum e, em muitos casos, necessária. No entanto, a carta enviada aos legisladores destaca que a existência de uma “cópia ativa” da base de dados da SSA em um ambiente de nuvem não havia sido divulgada anteriormente. Esta é a principal novidade e o ponto mais crítico da denúncia de Borges.
Enquanto o acesso aos dados para fins de investigação de fraude pode ser justificado e autorizado sob certas condições e protocolos rigorosos, a criação de uma cópia integral da base de dados em um ambiente de nuvem sem supervisão é uma questão de outra magnitude. A distinção entre “acesso” e “cópia ativa em ambiente não supervisionado” é crucial. O acesso controlado permite que as agências consultem dados específicos sob condições predefinidas, mantendo a integridade e a localização original das informações. Uma cópia ativa, por outro lado, cria um novo ponto de vulnerabilidade e um desafio adicional para a governança de dados.
A denúncia sugere que as ações do DOGE, embora potencialmente motivadas pela busca por fraudes, teriam extrapolado os limites do que era publicamente conhecido ou autorizado. A falta de transparência sobre a criação e manutenção dessa cópia em nuvem levanta questões sobre a conformidade com as leis de privacidade e segurança de dados, bem como com as políticas internas da própria SSA. A revelação tardia dessa prática, por meio de uma denúncia de irregularidade, indica uma possível tentativa de manter essas operações fora do escrutínio público e institucional.
Autoridade e Violações de Protocolos
A denúncia aponta que as ações dos funcionários do DOGE foram tomadas “sob a autoridade do Diretor de Informações (CIO) da SSA, Aram Moghaddassi”. A menção direta ao CIO da SSA como a figura que teria autorizado tais operações é um elemento central da acusação. O CIO é o principal executivo responsável pela tecnologia da informação e pelos sistemas de dados de uma organização, incluindo a segurança e a conformidade. Se a denúncia for comprovada, a autorização de Moghaddassi para a criação de uma cópia não supervisionada da base de dados representaria uma falha grave em suas responsabilidades.
A carta afirma categoricamente que as ações do DOGE violam os protocolos e políticas da SSA. As políticas de segurança de dados de uma agência governamental como a Previdência Social são projetadas para proteger informações sensíveis contra acesso não autorizado, uso indevido, alteração ou destruição. Elas estabelecem diretrizes para o manuseio, armazenamento, transmissão e descarte de dados, bem como para a gestão de riscos e a conformidade com regulamentações federais.
A violação desses protocolos e políticas pode ter consequências sérias, tanto para a segurança dos dados quanto para a credibilidade da agência. A criação de um ambiente de nuvem que contorna a supervisão, mesmo que sob a autoridade de um alto funcionário, mina a estrutura de governança de dados e os controles internos que são essenciais para a proteção de informações de milhões de cidadãos. A denúncia, ao identificar o CIO como a autoridade por trás dessas ações, direciona a investigação para os níveis mais altos da gestão da SSA, buscando entender como tais decisões foram tomadas e por que os protocolos de segurança teriam sido ignorados.
Implicações e Próximos Passos
As alegações de Chuck Borges, se confirmadas, teriam implicações profundas para a segurança dos dados da Previdência Social e para a confiança pública nas instituições governamentais. A possibilidade de que informações tão críticas estejam em um ambiente de nuvem sem a devida supervisão e potencialmente inseguro é um cenário de alto risco. A exposição de dados de seguridade social de mais de 300 milhões de americanos poderia levar a um número incalculável de incidentes de fraude e roubo de identidade, com consequências financeiras e pessoais devastadoras para os indivíduos afetados.
O envio da carta ao Congresso e ao Escritório do Advogado Especial sinaliza o início de um processo formal de investigação. O Congresso, como órgão legislativo e de supervisão, tem a prerrogativa de conduzir audiências, exigir documentos e interrogar funcionários para apurar a veracidade das alegações. O Escritório do Advogado Especial, por sua vez, é responsável por proteger os denunciantes federais e investigar denúncias de má conduta, abuso de autoridade e violações de leis e regulamentos.
A resolução desta denúncia dependerá da profundidade e imparcialidade das investigações que se seguirão. A transparência e a responsabilização serão cruciais para restaurar a confiança na gestão de dados da Previdência Social. A situação destaca a constante tensão entre a necessidade de agências governamentais acessarem e utilizarem dados para cumprir suas missões, como a detecção de fraudes, e a imperativa de proteger a privacidade e a segurança das informações dos cidadãos contra usos indevidos ou exposições acidentais.
Com informações de Ars Technica
Para seguir a cobertura, veja também security.