A Polícia Federal deflagrou na manhã desta quinta-feira (26/09) a Operação Mercado de dados, com o objetivo de desarticular organização criminosa (Orcrim) estabelecida nos Estados de São Paulo, Minas Gerais e Alagoas e especializada na obtenção fraudulenta de dados de beneficiários do Instituto Nacional de Seguridade Nacional (INSS) para posterior venda a terceiros interessados em simplesmente consultar esses dados ou usá-los para fins criminosos (por exemplo, contratação indevida de empréstimos consignados e saques irregulares de benefícios previdenciários).
As investigações, iniciadas em setembro de 2023, revelaram que a organização criminosa era composta por hackers que faziam uso de técnicas avançadas de invasão cibernética e conseguiam ingressar diretamente no banco de dados do INSS; servidores da referida autarquia federal que comercializavam as respectivas credenciais de acesso aos sistemas; e indivíduos que comercializavam os dados dos beneficiários para quaisquer interessados;
Policiais Federais saíram às ruas para cumprir 29 mandados de busca e 18 mandados de prisão preventiva nos Estados de SP, MG, MS, AL, PA, GO, DF, PR e BA.
Dentre os alvos dos mandados, um deles é um harcker que já fora investigado pela Polícia Federal e é reputado um dos mais habilidosos invasores de sistemas informatizados. Apurou-se que ele conseguia burlar o método de login com autenticação multifator, alterar os níveis de acesso das credenciais dos servidores do INSS e até mesmo fazer uso do certificado digital desses servidores. 3 servidores e 1 estagiário do INSS também foram alvos da operação.
O Juízo da 4ª Vara Criminal Federal de Cascavel/PR determinou o sequestro de 24 imóveis pertencentes aos integrantes da Orcrim, bem como o bloqueio dos recursos financeiros existentes nas contas bancárias por eles usadas até o valor de R$ 34 milhões.
A investigação transcorreu com apoio do Ministério da Previdência, por meio da Coordenação de Inteligência da Previdência Social - COINP.
Os envolvidos responderão por diversos crimes, dentre os quais, organização criminosa, corrupção, invasão de dispositivos informáticos, violação de sigilo funcional, obtenção e comercialização de dados sigilos e lavagem de capitais, com penas que, se somadas, podem chegar a mais de 15 anos de prisão.