Início » Antivírus e Segurança » Exclusivo: Falha em sistema dos Correios expõe dados pessoais em importações

Exclusivo: Falha em sistema dos Correios expõe dados pessoais em importações

Sem verificação, área Minhas Importações do Meu Correios permite download de recibo que contém nome completo, endereço e CPF

Giovanni Santa Rosa Por

O sistema Meu Correios dava acesso indevido a informações pessoais de outros usuários até esta sexta-feira (10). O Tecnoblog testou o processo e confirmou: era possível fazer o download do recibo do pagamento das taxas de importação de encomendas, documento que tem dados como endereço, nome e CPF. A falta de verificação na hora de baixar o arquivo pode ferir a LGPD.

App dos Correios para Android (imagem: Emerson Alecrim/Tecnoblog)
App dos Correios para Android (imagem: Emerson Alecrim/Tecnoblog)

Correios deixam recibos à mostra

A falha se dá no ambiente Minhas Importações do sistema Meu Correios, que é usado para identificar encomendas e pagar os impostos devidos. No sistema, o cliente deve colocar o código de rastreio, cadastrar o seu CPF e fazer o pagamento, em caso de taxação.

No entanto, após todo esse processo ter sido feito, outro cliente pode acessar de forma indevida o Demonstrativo de Impostos e Serviços. Neste documento, há o endereço de entrega, o nome completo do destinatário e seu CPF, bem como os produtos da nota fiscal e seus valores.

A vulnerabilidade foi descoberta pelos leitores Hugo e Roberto. O Tecnoblog verificou e confirmou a existência da brecha.

Foto de encomenda importada postada em grupo do Facebook; os dados sensíveis foram censurados
Foto de encomenda importada postada em grupo do Facebook; os dados foram censurados pelo Tecnoblog (Imagem: Reprodução/Facebook)
Demonstrativo de Impostos e Serviços da encomenda, com dados pessoais do cliente
Demonstrativo de Impostos e Serviços da encomenda, com dados pessoais do cliente (Imagem: Reprodução/Correios)

A brecha é mais grave no caso de encomendas internacionais taxadas. Mas, mesmo em testes realizados com entregas não taxadas, o sistema retorna o CPF vinculado e um recibo em branco.

Comprovante em branco de importação que não foi taxada
Comprovante em branco de importação que não foi taxada (Imagem: Reprodução/Correios)

Os leitores perceberam a falha em um grupo de importações no Facebook. Por lá, outros consumidores costumam comentar quando suas encomendas são taxadas, mas nem sempre se lembram de ocultar todos os dados.

Hugo alertou os membros do grupo. Em conversa com o Tecnoblog, ele comenta que uma simples verificação do CPF ou CNPJ deveria existir no sistema. Assim, se o documento de quem acessou o Meu Correios é diferente daquele que está vinculado à encomenda, o recibo não deveria ser exibido.

Correios não se pronunciam e falha continua ativa

O Tecnoblog procurou os Correios na noite de 2 de setembro. Até a publicação dessa reportagem, não houve uma resposta da empresa; ainda era possível acessar informações sobre importações de outros clientes.

Após a publicação da reportagem do Tecnoblog, os Correios enviaram a seguinte resposta. Além disso, a companhia alterou o modelo do recibo, que deixou de mostrar nome, CPF e endereço.

O acesso ao ambiente Minhas Importações é realizado mediante autenticação com login e senha, sendo que este acesso é fruto de cadastro no Meu Correios. Só é possível consultar a situação de encomendas a partir do código de rastreamento, que é informação pessoal do interessado, destinatário ou importador, e não deve ser compartilhado com terceiros. Além disso, não se deve realizar consulta de informação sobre objetos de terceiros, sob a pena de desrespeito ao sigilo de correspondência, conforme Art. 5º da Lei 6.538/78.

Em atendimento à exigência imposta pela Instrução Normativa 1.737/2017 da Receita Federal, quando da consulta de objetos internacionais, os Correios disponibilizam o Demonstrativo de Impostos e Serviços (DIS), relatório com informações consolidadas em relação à referida importação. A disponibilização da DIS é mais uma garantia para o importador de que está fazendo o recolhimento do imposto devido para a remessa esperada. No entanto, apesar da consulta só ser possível mediante cessão da informação de caráter pessoal, tempestivamente, fizemos ajustes no formulário retirando do documento as informações pessoais não legalmente obrigatórias.

Sob o aspecto da LGPD, os Correios já estão em contato com a ANPD para comunicação do evento mediante rito e protocolo estabelecido.

O que diz a LGPD

Em conversa com o Tecnoblog, o advogado Adriano Mendes, especialista em direito digital, explica que a Lei Geral de Proteção de Dados (LGPD) determina que os produtos e sistemas sejam concebidos levando em consideração os princípios da privacidade.

Correios (Imagem: Marcos Oliveira/Agência Senado)
Correios (Imagem: Marcos Oliveira/Agência Senado)

Os Correios podem ter infringido a lei ao não impedir que dados pessoais fossem acessados sem que houvesse uma verificação de quem era o usuário por trás dessa requisição. Por outro lado, Mendes diz que parece ser também uma falha dos consumidores que deixaram informações expostas, já que elas são necessárias para conseguir o tal recibo. Por isso, o advogado aconselha que as pessoas tenham cuidado com seus dados e não os compartilhem sem necessidade.

De qualquer forma, o assunto pode vir a ser investigado pela Autoridade Nacional de Proteção de Dados (ANPD). Neste caso, se a empresa for considerada culpada, pode sofrer penalidades como advertência, suspensão das atividades e até bloqueio do sistema. Mendes considera praticamente impossível que essas duas últimas sejam postas em prática, já que o dano da paralisação de um sistema dos Correios é muito maior que o prejuízo de um vazamento de dados. Por se tratar de uma companhia pública, não há multas.

Como é preciso estar logado no sistema para fazer o download do recibo, pode ser que a empresa tenha um registro de quem faz essas requisições. Caso esse log realmente exista, os Correios deveriam comunicar quem teve seus dados expostos indevidamente.

E essas pessoas poderiam processar a empresa? Sim, mas Mendes considera improvável conseguir uma indenização por causa disso porque é necessário provar o dano causado pelo acesso não-autorizado. “Você precisaria provar que aqueles dados foram usados para abrir uma conta bancária, fazer um cartão de crédito, pegar um empréstimo, coisas desse tipo.”

Atualizado às 18h53 com posicionamento dos Correios

Comentários da Comunidade

Participe da discussão
4 usuários participando

Os mais notáveis

Comentários com a maior pontuação

@ksio89

Por se tratar de uma companhia pública, não há multas.

É porque estatais e o governo estão acima da lei, que só existe para empresas privadas e para o cidadão. Quando extraviaram uma encomenda minha durante a greve do ano passado, eu até denunciei o furto no Ministério Público Federal, mas provavelmente não deu em nada e nenhum funcionário foi punido.

Leonidas Rodrigues Dos Santos (@Leonidas)

Imagine o estrago se fosse uma empresa privada, mas como não é segue o jogo sem a responsabilidade de nada do que acontece. Em 2008 tive um prejuízo de R$28 mil por extravio de notebooks, tive que recorrer na justiça e foi apenas em 2010 que fui ressarcido. Nunca mais usei os correios, só transportadoras.