Un fallo en un sistema de Factura electrónica (NF-e) expuso los datos de consumidores que toman servicios en varias ciudades de Rio Grande do Sul y, potencialmente, también en Santa Catarina.

Según Gustavo Filomena, gerente de TI que fundar la falla, “permite a un atacante con un CNPJ descargar el archivo XML en el estándar ABRASF desde cualquier NF-e emitido. Murciélago CNPJ de la empresa y el número NF-e, ya que el sistema no valida el campo denominado 'Código de Verificación', que sería un código único para cada NF-e emitido ”.

publicidad

Lo que agrava el problema es que las facturas se emiten con numeración secuencial, basada en año / número. Esto permite que la ejecución de scripts descargue datos automáticamente, ya que existe un tercer problema: la "Palabra de verificación" (un tipo de Captcha) implementado como mecanismo de seguridad no caduca después de descargar el archivo, permaneciendo activo.

A continuación se puede ver una reproducción de la falla. En este ejemplo, la búsqueda se realizó con un CNPJ y el número NF-e. El código de verificación era una simple cadena de dígitos en el teclado (1234567890)

Gustavo, que tiene 32 años y ha trabajado durante 16 con Tecnología de la Información, relata cómo descubrió el problema: “fue por accidente, soy usuario del NF-e de São Leopoldo, descubrí la falla y la reporté en cuanto me enteré. Inicialmente, el protocolo solo se había abierto en São Leopoldo, sin embargo, el defensor del pueblo insistió en que se diera una respuesta dentro de los 30 días hábiles. Aunque llamé y pedí que me llevaran al sector responsable, nunca me atendieron debidamente ”.

La falla fue notificada a la ciudad de São Leopoldo el 01/05. “Después de esto, fui tras otros ayuntamientos en los que usaban el mismo sistema, ya que, donde yo trabajo, tenemos varios emisores NF-e. Cuando encontré algunos en común, hice la prueba e informé el problema el 10/05 a la ciudad de Passo Fundo y luego a Thema Informática, responsable del sistema. La semana pasada, le pregunté a Thema acerca de una posición al respecto, pero la respuesta es vaga, solo indica que están trabajando con los ayuntamientos al respecto ".

Leia mais:

En un correo electrónico enviado a Gustavo el 31/05, 21 días después de que se reportó la falla, un miembro del equipo de soporte de Thema Informática manifestó: “Estamos trabajando a diario. En cuanto al plazo, trabajamos en conjunto con el Ayuntamiento de IT, ya que tenemos procesos y hay que seguirlos. Espere la resolución ”.

Gustavo confirmó que el problema existe en São Leopoldo, Esteio, Passo Fundo y Montenegro, todas las ciudades de Rio Grande do Sul. También puede ocurrir en otras ciudades que utilizan el sistema Thema, como Lajeado (RS), Taquara (RS), Montenegro (RS), Venancio Aires (RS) y Gaspar (SC).

En una declaración al Olhar DigitalGustavo explica que su objetivo al dar a conocer la falla es simple: acelerar la corrección. “La LGPD (Ley General de Protección de Datos) tiene claras las fallas, sin embargo, el gobierno parece no haber entendido aún la gravedad de este tipo de filtraciones. Creo que existe una disparidad de control entre las TI privadas y las autoridades públicas ”.

La otra cara

“Desde el 10/05/2021 Thema Informática viene adoptando las medidas necesarias para corregir la inconsistencia señalada. En este sentido, todos los clientes fueron debidamente comunicados y la funcionalidad del sistema 'Consulta de NFS-e' no está disponible. En tiempo también informamos que el señor Gustavo Filomeno fue informado sobre las medidas tomadas por la empresa ”, explicó Thema Informática a Olhar Digital.

¿Has visto nuestros nuevos videos en YouTube? ¡Suscríbase a nuestro canal!