Tecnoblog
Início » Antivírus e Segurança » Exclusivo: Governo de SP deixa sistema exposto sem senha na internet

Exclusivo: Governo de SP deixa sistema exposto sem senha na internet

Secretaria da Fazenda de SP permitia visualizar sistema interno e "espionar" acesso a notas fiscais e contas do governo

A Secretaria da Fazenda do Estado de São Paulo (Sefaz) permitia que qualquer usuário visualizasse um sistema interno de contabilidade, bastando apenas visitar um link — não era necessário digitar login nem senha. Era possível “espionar” funcionários públicos acessando dados de notas fiscais, saldo e movimentação de contas do governo, entre outros. O órgão diz que não encontrou nenhum erro, mas suspendeu o acesso após ser questionado pelo Tecnoblog.

O sistema em questão é o SIAFEM (Sistema Integrado de Administração Financeira para Estados e Munícipios). Ele é usado “para otimizar e uniformizar a execução orçamentária, financeira, patrimonial e contábil de forma integrada”, segundo a descrição do site oficial.

O link, fornecido por um leitor anônimo do Tecnoblog, dava acesso à interface web do SIAFEM. Não era necessário inserir login nem senha: bastava teclar ESC e você conseguia espelhar o que um funcionário público estava acessando. A cada visita, você caía em um terminal diferente.

Dessa forma, era possível visualizar detalhes de notas fiscais, como os gastos do Detran, da Secretaria do Meio Ambiente ou da Procuradoria Geral do Estado; além de ver a movimentações de contas de prefeituras, do TJ/SP e da SPPREV (São Paulo Previdência).

Sefaz diz que dados são públicos

Em comunicado ao Tecnoblog, a Sefaz afirma que todos os dados presentes no SIAFEM são públicos e disponibilizados no Portal de Transparência de SP. Lá é possível encontrar a remuneração dos servidores públicos, receitas, despesas e transferências para municípios.

No entanto, o SIAFEM oferece dados mais detalhados sobre despesas, além de permitir visualizar a movimentação de contas, algo que não conseguimos encontrar no site do governo.

Movimentação de conta do Tribunal de Justiça de São Paulo:

O acesso remoto do SIAFEM é feito através do Micro Focus Verastream, que possibilita usar programas antigos através da web. “O Verastream ajuda você a liberar seus ativos legados para uma reutilização rápida em diversos projetos”, explica o site da empresa.

Vale notar que o Verastream permite configurar login e senha para o acesso remoto, com credenciais diferentes do acesso ao sistema em si. O serviço também tem suporte a HTTPS; no entanto, o site do SIAFEM usa conexão sem criptografia.

Sefaz interrompe acesso

No comunicado ao Tecnoblog, a Sefaz afirma que “todo acesso ao SIAFEM pelo terminal é feito mediante controle, não sendo possível a operação do sistema por indivíduos não autorizados”. Ainda assim, é estranho deixar que um funcionário seja “espionado” por qualquer pessoa sem saber.

“As equipes técnicas responsáveis pela aplicação não encontraram nenhum erro ou alteração em seu funcionamento, não sendo possível reproduzir os erros apresentados na denúncia”, explica a Sefaz.

Ainda assim, o acesso remoto ao SIAFEM foi interrompido. “Por precaução, o acesso via terminal web foi suspenso para consultas ao fabricante do software sobre eventuais vulnerabilidades ou falhas que possam colocar em risco o acesso ao SIAFEM”, diz o comunicado.

Agora, ao acessar o link, você é redirecionado para o portal Contabiliza SP. “A Contadoria Geral do Estado emitiu nota aos usuários do SIAFEM nas unidades do Estado para que estes utilizem na web apenas a interface do CONTABILIZASP”, afirma a Sefaz.

Gastos do Detran-SP com material de consumo:

Os gastos do Detran-SP aparecem de forma consolidada no portal de transparência:

Comentários da Comunidade

Participe da discussão

Os mais notáveis

Comentários com a maior pontuação