Olhar Digital > Segurança e Privacidade > Falha em sistema de NF-e expõe dados de consumidores no RS

Falha em sistema de NF-e expõe dados de consumidores no RS

Rafael Rigues08/06/2021 17h07, atualizada em 09/06/2021 10h00
vazamento-1920x1080
Imagem: Shutterstock/Reprodução
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Uma falha em um sistema de Nota Fiscal Eletrônica (NF-e) expôs os dados pessoais de consumidores tomadores de serviço em várias cidades no Rio Grande do Sul e, potencialmente, também em Santa Catarina.

Ofertas
Caixa de Som 2.1 14w RMS USB Conexão P2 Controle de Volume Preto - SP172
Vendido por Amazon
Caixa de Som 2.1 14w RMS USB Conexão P2 Controle de Volume Preto - SP172
De: R$ 119,90
Por: R$ 89,90
Cabo de carregamento e cabo de transferência de dados da série Baseus Cafule, USB-A e Lightning 1.5 A, 2 Meter, cinza - preto
Vendido por Amazon
Cabo de carregamento e cabo de transferência de dados da série Baseus Cafule, USB-A e Lightning 1.5 A, 2 Meter, cinza - preto
Por R$ 45,90
Fonte Carregador Para Notebook Acer Aspire 5 A514-54 A515-54 A315-34 19v 3,42A 65W Plug 3.0x1.1mm Pino Fino Bivolt com Cabo de Força
Vendido por Amazon
Fonte Carregador Para Notebook Acer Aspire 5 A514-54 A515-54 A315-34 19v 3,42A 65W Plug 3.0x1.1mm Pino Fino Bivolt com Cabo de Força
De: R$ 55,23
Por: R$ 52,07
Nobreak Interativo XNB 600VA 220V Preto Intelbras
Vendido por Amazon
Nobreak Interativo XNB 600VA 220V Preto Intelbras
De: R$ 536,90
Por: R$ 298,00
Nobreak Interativo ATTIV 700VA Bivolt Preto Intelbras
Vendido por Amazon
Nobreak Interativo ATTIV 700VA Bivolt Preto Intelbras
De: R$ 560,00
Por: R$ 475,87
Adaptador USB-C para HDMI 4K, USB 3.0 e Carga PD - Compatibilidade com MacBook, Thunderbolt 3 e DEX Android - Eleva Sua Experiência Multimídia Oferece Carga Rápida Vende Mais
Vendido por Amazon
Adaptador USB-C para HDMI 4K, USB 3.0 e Carga PD - Compatibilidade com MacBook, Thunderbolt 3 e DEX Android - Eleva Sua Experiência Multimídia Oferece Carga Rápida Vende Mais
Por R$ 24,90
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
Vendido por Amazon
Teclado Magnético Gamer Redragon Kumara PRO K552RGB USB RGB Preto Switch Marrom
De: R$ 330,05
Por: R$ 235,28
Lápis de Cor Ecolápis Triangular Jumbo 12 Cores + 2 Lápis Jumbo 2B, Faber-Castell
Vendido por Amazon
Lápis de Cor Ecolápis Triangular Jumbo 12 Cores + 2 Lápis Jumbo 2B, Faber-Castell
De: R$ 46,00
Por: R$ 36,22
Microsoft Xbox Wireless Controller Storm Breaker Special Edition - Wireless & Bluetooth Connectivity - New Hybrid D-Pad - New Share Button - Featuring Textured Grip
Vendido por Amazon
Microsoft Xbox Wireless Controller Storm Breaker Special Edition - Wireless & Bluetooth Connectivity - New Hybrid D-Pad - New Share Button - Featuring Textured Grip
De: R$ 599,00
Por: R$ 549,00
Carregador Portátil (Power Bank) 20000Mah Turbo 22.5w Carregamento Ultra Rápido PD Visor Led com 2 Saídas Compatível com Android e IOS (Preto)
Vendido por Amazon
Carregador Portátil (Power Bank) 20000Mah Turbo 22.5w Carregamento Ultra Rápido PD Visor Led com 2 Saídas Compatível com Android e IOS (Preto)
Por R$ 89,49
Lata EcoLápis Grip 24 Cores, Faber-Castell, 121024LT, Grafite
Vendido por Amazon
Lata EcoLápis Grip 24 Cores, Faber-Castell, 121024LT, Grafite
De: R$ 63,00
Por: R$ 49,90
Controle sem fio Microsoft Xbox - Edição Especial Heart Breaker [android,ios,windows,xbox_one,xbox_series_s,xbox_series_x]
Vendido por Amazon
Controle sem fio Microsoft Xbox - Edição Especial Heart Breaker [android,ios,windows,xbox_one,xbox_series_s,xbox_series_x]
De: R$ 599,00
Por: R$ 549,00
Havit Mouse Gamer Tri-Mode MS966SE Black, Sem Fio e Com Fio, USB, Bluetooth, Wireless 2.4GHz, RGB, 7 Botões, 800-1600-2400-3200-600-10000 DPI, Preto
Vendido por Amazon
Havit Mouse Gamer Tri-Mode MS966SE Black, Sem Fio e Com Fio, USB, Bluetooth, Wireless 2.4GHz, RGB, 7 Botões, 800-1600-2400-3200-600-10000 DPI, Preto
Por R$ 137,00
Kit Roteador Mesh Wi-Fi 6 Gigabit AX3000 - Deco X50(2-pack)(US)
Vendido por Amazon
Kit Roteador Mesh Wi-Fi 6 Gigabit AX3000 - Deco X50(2-pack)(US)
De: R$ 1.156,80
Por: R$ 727,20
Tilibra - Agenda Costurada Diária 12,3 x 16,6 cm Charme 2026 - Flores fundo branco e roxo
Vendido por Amazon
Tilibra - Agenda Costurada Diária 12,3 x 16,6 cm Charme 2026 - Flores fundo branco e roxo
De: R$ 30,90
Por: R$ 27,81
Caderneta s Pastel, Cicero, 6726, Azul, Médio (14X21)
Vendido por Amazon
Caderneta s Pastel, Cicero, 6726, Azul, Médio (14X21)
De: R$ 79,99
Por: R$ 71,99
Drone DJI Air 3S Fly More Combo (Com tela) BR - DJI056
Vendido por Amazon
Drone DJI Air 3S Fly More Combo (Com tela) BR - DJI056
Por R$ 17.179,99
PHILIPS, Fone de Ouvido Sem Fio TWS, TAT2500BK/00, Bluetooth, Com Cancelamento de Ruído Ativo ANC, Com Microfone, Até 24 horas de bateria, iPX4, Preto
Vendido por Amazon
PHILIPS, Fone de Ouvido Sem Fio TWS, TAT2500BK/00, Bluetooth, Com Cancelamento de Ruído Ativo ANC, Com Microfone, Até 24 horas de bateria, iPX4, Preto
Por R$ 173,95
Microfone USB Gaming PC, Microfone RGB para PC/Notebook, Mic with Boom Arm, Microphone Condensador de mesa/Braço, Live, Podcast, Gravação de Audio, Karaoke, Gamer Youtuber DJ
Vendido por Amazon
Microfone USB Gaming PC, Microfone RGB para PC/Notebook, Mic with Boom Arm, Microphone Condensador de mesa/Braço, Live, Podcast, Gravação de Audio, Karaoke, Gamer Youtuber DJ
De: R$ 199,99
Por: R$ 178,49
Relógio Inteligente Smartwatch Feminino Masculino, com Tela AMOLED, AI ChatGPT, Chamadas Bluetooth, 150+ Monitoramento Esportivo, Chamadas Bluetooth,Relogio smartwatch iphone
Vendido por Amazon
Relógio Inteligente Smartwatch Feminino Masculino, com Tela AMOLED, AI ChatGPT, Chamadas Bluetooth, 150+ Monitoramento Esportivo, Chamadas Bluetooth,Relogio smartwatch iphone
De: R$ 183,99
Por: R$ 174,69
soundcore Q11i da Anker Fone De Ouvido Bluetooth 5.3, Fone Gamer, Headphone Bluetooth Over-Ear, Graves Profundos, 60H Autonomia, Hi-Res Áudio, Almofadas Removíveis, Conexão Multiponto, Preto
Vendido por Amazon
soundcore Q11i da Anker Fone De Ouvido Bluetooth 5.3, Fone Gamer, Headphone Bluetooth Over-Ear, Graves Profundos, 60H Autonomia, Hi-Res Áudio, Almofadas Removíveis, Conexão Multiponto, Preto
De: R$ 259,35
Por: R$ 198,99
Bundle Nintendo Switch + Super Mario Bros. Wonder + 3 Meses de Assinatura Nintendo Switch Online
Vendido por Amazon
Bundle Nintendo Switch + Super Mario Bros. Wonder + 3 Meses de Assinatura Nintendo Switch Online
Por R$ 2.399,00
Notebook ASUS TUF Gaming A15, RTX 3050, AMD RYZEN 7, 8 GB, 512 GB SSD, KeepOS, Tela 15.6'' FHD, Graphite Black - FA506NCR-HN089
Vendido por Amazon
Notebook ASUS TUF Gaming A15, RTX 3050, AMD RYZEN 7, 8 GB, 512 GB SSD, KeepOS, Tela 15.6'' FHD, Graphite Black - FA506NCR-HN089
De: R$ 5.299,00
Por: R$ 4.299,00
Havit Headphone Fone de Ouvido H2002d Pink, Gamer, com Microfone, Falante 53mm, Plug 3, 5mm: compatível com XBOX ONE e PS4, HAVIT, HV-H2002d Cor Rosa
Vendido por Amazon
Havit Headphone Fone de Ouvido H2002d Pink, Gamer, com Microfone, Falante 53mm, Plug 3, 5mm: compatível com XBOX ONE e PS4, HAVIT, HV-H2002d Cor Rosa
De: R$ 229,00
Por: R$ 203,92
Roku Streaming Stick HD 2025 | Dispositivo de streaming para TV HD/FHD com controle remoto por comando de voz compatível com Alexa, Siri e Google
Vendido por Amazon
Roku Streaming Stick HD 2025 | Dispositivo de streaming para TV HD/FHD com controle remoto por comando de voz compatível com Alexa, Siri e Google
De: R$ 289,90
Por: R$ 179,00
EMEET Webcam 4K, webcam S600 com tripé, 2 microfones de redução de ruído, FOV ajustável de 40° a 73°, foco automático PDAF, capa de privacidade integrada, câmera de streaming para jogos, chamadas de
Vendido por Amazon
EMEET Webcam 4K, webcam S600 com tripé, 2 microfones de redução de ruído, FOV ajustável de 40° a 73°, foco automático PDAF, capa de privacidade integrada, câmera de streaming para jogos, chamadas de
Por R$ 419,99
soundcore P30i by Anker, Fones de Ouvido com Cancelamento de Ruído, Graves Poderosos, 45H de Reprodução, Estojo 2-em-1 com Suporte para Celular, IP54, Bluetooth 5.4, Fones Sem Fio
Vendido por Amazon
soundcore P30i by Anker, Fones de Ouvido com Cancelamento de Ruído, Graves Poderosos, 45H de Reprodução, Estojo 2-em-1 com Suporte para Celular, IP54, Bluetooth 5.4, Fones Sem Fio
De: R$ 369,00
Por: R$ 209,90
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
Vendido por Amazon
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
De: R$ 249,00
Por: R$ 166,19
HD Externo Toshiba 1TB Canvio Basics Preto HDTB510XK3AA
Vendido por Amazon
HD Externo Toshiba 1TB Canvio Basics Preto HDTB510XK3AA
Por R$ 449,00

Segundo Gustavo Filomena, Gestor de TI que descobriu a falha, ela “permite que um atacante com um CNPJ possa baixar o arquivo XML no padrão ABRASF de qualquer NF-e emitida. Basta o CNPJ da empresa e o número da NF-e, visto que o sistema não valida o campo chamado ‘Código Verificação’, que seria um código exclusivo para cada NF-e emitida”.

O que agrava o problema é que as notas fiscais são emitidas com numeração sequencial, baseada em ano/número. Isso permite a execução de scripts para download automático de dados, visto que há um terceiro problema: a “Palavra de verificação” (um tipo de captcha) implementada como mecanismo de segurança não expira após o download do arquivo, permanecendo ativa.

Uma reprodução da falha pode ser vista abaixo. Neste exemplo, a pesquisa foi realizada com um CNPJ, e o número da NF-e. O código de verificação foi uma simples sequência de dígitos no teclado (1234567890)

Gustavo, que tem 32 anos e trabalha há 16 com Tecnologia da Informação, conta como descobriu o problema: “foi por acidente, sou usuário da NF-e de São Leopoldo, descobri a falha e reportei assim que soube. Inicialmente tinha aberto apenas o protocolo em São Leopoldo, porém, a ouvidoria insistia no prazo de 30 dias úteis para resposta. Mesmo que eu ligasse e pedisse para ser direcionado ao setor responsável, nunca fui devidamente atendido”.

A falha foi notificada à prefeitura de São Leopoldo em 01/05. “Depois disto, fui atrás de outras prefeituras na qual utilizassem o mesmo sistema, visto que, onde trabalho, temos diversos emissores de NF-e. Ao achar algumas em comum, fiz o teste e reportei o problema no dia 10/05 à prefeitura de Passo Fundo e em seguida à Thema Informática, responsável pelo sistema. Na última semana, cobrei a Thema sobre uma posição a respeito, porém a resposta é vaga, apenas informando que estão trabalhando a respeito com as prefeituras”.

Leia mais:

Em um e-mail enviado a Gustavo no dia 31/05, 21 dias após a falha ser relatada, um membro da equipe de suporte da Thema Informática afirmou: “estamos trabalhando diariamente. Referente ao prazo, trabalhamos em conjunto com a TI da Prefeitura, pois temos processos e devem ser seguidos. Solicito que aguarde a resolução”.

Gustavo confirmou que o problema existe em São Leopoldo, Esteio, Passo Fundo e Montenegro, todas cidades no Rio Grande do Sul. Pode ocorrer também em outras cidades que usam o sistema da Thema, como Lajeado (RS), Taquara (RS), Montenegro (RS), Venancio Aires (RS) e Gaspar (SC).

Em declaração ao Olhar Digital, Gustavo explica que seu objetivo ao divulgar a falha é simples: agilizar a correção. “A LGPD (Lei Geral de Proteção de Dados) é clara quanto às falhas, porém, o poder público parece não ter entendido ainda a gravidade deste tipo de vazamento. Acredito que existe uma disparidade de controle entre TI’s privadas e o poder público”.

O outro lado

“Desde o dia 10/05/2021 a Thema Informática está adotando as medidas necessárias para a correção da inconsistência apontada. Nesse sentido, todos os clientes foram devidamente comunicados e a funcionalidade do sistema ‘Consulta de NFS-e’ encontra-se indisponível. Em tempo, informamos também que o Sr. Gustavo Filomeno foi comunicado acerca das providências tomadas pela empresa”, explicou a Thema Informática ao Olhar Digital.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!

Redator(a)

Rafael Rigues é redator(a) no Olhar Digital

Ícone tagsTags: