Uma falha em um sistema de Nota Fiscal Eletrônica (NF-e) expôs os dados pessoais de consumidores tomadores de serviço em várias cidades no Rio Grande do Sul e, potencialmente, também em Santa Catarina.

Segundo Gustavo Filomena, Gestor de TI que descobriu a falha, ela “permite que um atacante com um CNPJ possa baixar o arquivo XML no padrão ABRASF de qualquer NF-e emitida. Basta o CNPJ da empresa e o número da NF-e, visto que o sistema não valida o campo chamado ‘Código Verificação’, que seria um código exclusivo para cada NF-e emitida”.

publicidade

O que agrava o problema é que as notas fiscais são emitidas com numeração sequencial, baseada em ano/número. Isso permite a execução de scripts para download automático de dados, visto que há um terceiro problema: a “Palavra de verificação” (um tipo de captcha) implementada como mecanismo de segurança não expira após o download do arquivo, permanecendo ativa.

Uma reprodução da falha pode ser vista abaixo. Neste exemplo, a pesquisa foi realizada com um CNPJ, e o número da NF-e. O código de verificação foi uma simples sequência de dígitos no teclado (1234567890)

Gustavo, que tem 32 anos e trabalha há 16 com Tecnologia da Informação, conta como descobriu o problema: “foi por acidente, sou usuário da NF-e de São Leopoldo, descobri a falha e reportei assim que soube. Inicialmente tinha aberto apenas o protocolo em São Leopoldo, porém, a ouvidoria insistia no prazo de 30 dias úteis para resposta. Mesmo que eu ligasse e pedisse para ser direcionado ao setor responsável, nunca fui devidamente atendido”.

A falha foi notificada à prefeitura de São Leopoldo em 01/05. “Depois disto, fui atrás de outras prefeituras na qual utilizassem o mesmo sistema, visto que, onde trabalho, temos diversos emissores de NF-e. Ao achar algumas em comum, fiz o teste e reportei o problema no dia 10/05 à prefeitura de Passo Fundo e em seguida à Thema Informática, responsável pelo sistema. Na última semana, cobrei a Thema sobre uma posição a respeito, porém a resposta é vaga, apenas informando que estão trabalhando a respeito com as prefeituras”.

Leia mais:

Em um e-mail enviado a Gustavo no dia 31/05, 21 dias após a falha ser relatada, um membro da equipe de suporte da Thema Informática afirmou: “estamos trabalhando diariamente. Referente ao prazo, trabalhamos em conjunto com a TI da Prefeitura, pois temos processos e devem ser seguidos. Solicito que aguarde a resolução”.

Gustavo confirmou que o problema existe em São Leopoldo, Esteio, Passo Fundo e Montenegro, todas cidades no Rio Grande do Sul. Pode ocorrer também em outras cidades que usam o sistema da Thema, como Lajeado (RS), Taquara (RS), Montenegro (RS), Venancio Aires (RS) e Gaspar (SC).

Em declaração ao Olhar Digital, Gustavo explica que seu objetivo ao divulgar a falha é simples: agilizar a correção. “A LGPD (Lei Geral de Proteção de Dados) é clara quanto às falhas, porém, o poder público parece não ter entendido ainda a gravidade deste tipo de vazamento. Acredito que existe uma disparidade de controle entre TI’s privadas e o poder público”.

O outro lado

“Desde o dia 10/05/2021 a Thema Informática está adotando as medidas necessárias para a correção da inconsistência apontada. Nesse sentido, todos os clientes foram devidamente comunicados e a funcionalidade do sistema ‘Consulta de NFS-e’ encontra-se indisponível. Em tempo, informamos também que o Sr. Gustavo Filomeno foi comunicado acerca das providências tomadas pela empresa”, explicou a Thema Informática ao Olhar Digital.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!