Exclusivo: Falha em sistema dos Correios expõe dados pessoais em importações

Sem verificação, área Minhas Importações do Meu Correios permite download de recibo que contém nome completo, endereço e CPF

Giovanni Santa Rosa
Por
• Atualizado há 8 meses
App dos Correios para Android (imagem: Emerson Alecrim/Tecnoblog)
App dos Correios para Android (imagem: Emerson Alecrim/Tecnoblog)

O sistema Meu Correios dava acesso indevido a informações pessoais de outros usuários até esta sexta-feira (10). O Tecnoblog testou o processo e confirmou: era possível fazer o download do recibo do pagamento das taxas de importação de encomendas, documento que tem dados como endereço, nome e CPF. A falta de verificação na hora de baixar o arquivo pode ferir a LGPD.

Correios deixam recibos à mostra

A falha se dá no ambiente Minhas Importações do sistema Meu Correios, que é usado para identificar encomendas e pagar os impostos devidos. No sistema, o cliente deve colocar o código de rastreio, cadastrar o seu CPF e fazer o pagamento, em caso de taxação.

No entanto, após todo esse processo ter sido feito, outro cliente pode acessar de forma indevida o Demonstrativo de Impostos e Serviços. Neste documento, há o endereço de entrega, o nome completo do destinatário e seu CPF, bem como os produtos da nota fiscal e seus valores.

A vulnerabilidade foi descoberta pelos leitores Hugo e Roberto. O Tecnoblog verificou e confirmou a existência da brecha.

Foto de encomenda importada postada em grupo do Facebook; os dados sensíveis foram censurados
Foto de encomenda importada postada em grupo do Facebook; os dados foram censurados pelo Tecnoblog (Imagem: Reprodução/Facebook)
Demonstrativo de Impostos e Serviços da encomenda, com dados pessoais do cliente
Demonstrativo de Impostos e Serviços da encomenda, com dados pessoais do cliente (Imagem: Reprodução/Correios)

A brecha é mais grave no caso de encomendas internacionais taxadas. Mas, mesmo em testes realizados com entregas não taxadas, o sistema retorna o CPF vinculado e um recibo em branco.

Comprovante em branco de importação que não foi taxada
Comprovante em branco de importação que não foi taxada (Imagem: Reprodução/Correios)

Os leitores perceberam a falha em um grupo de importações no Facebook. Por lá, outros consumidores costumam comentar quando suas encomendas são taxadas, mas nem sempre se lembram de ocultar todos os dados.

Hugo alertou os membros do grupo. Em conversa com o Tecnoblog, ele comenta que uma simples verificação do CPF ou CNPJ deveria existir no sistema. Assim, se o documento de quem acessou o Meu Correios é diferente daquele que está vinculado à encomenda, o recibo não deveria ser exibido.

Correios não se pronunciam e falha continua ativa

O Tecnoblog procurou os Correios na noite de 2 de setembro. Até a publicação dessa reportagem, não houve uma resposta da empresa; ainda era possível acessar informações sobre importações de outros clientes.

Após a publicação da reportagem do Tecnoblog, os Correios enviaram a seguinte resposta. Além disso, a companhia alterou o modelo do recibo, que deixou de mostrar nome, CPF e endereço.

O acesso ao ambiente Minhas Importações é realizado mediante autenticação com login e senha, sendo que este acesso é fruto de cadastro no Meu Correios. Só é possível consultar a situação de encomendas a partir do código de rastreamento, que é informação pessoal do interessado, destinatário ou importador, e não deve ser compartilhado com terceiros. Além disso, não se deve realizar consulta de informação sobre objetos de terceiros, sob a pena de desrespeito ao sigilo de correspondência, conforme Art. 5º da Lei 6.538/78.

Em atendimento à exigência imposta pela Instrução Normativa 1.737/2017 da Receita Federal, quando da consulta de objetos internacionais, os Correios disponibilizam o Demonstrativo de Impostos e Serviços (DIS), relatório com informações consolidadas em relação à referida importação. A disponibilização da DIS é mais uma garantia para o importador de que está fazendo o recolhimento do imposto devido para a remessa esperada. No entanto, apesar da consulta só ser possível mediante cessão da informação de caráter pessoal, tempestivamente, fizemos ajustes no formulário retirando do documento as informações pessoais não legalmente obrigatórias.

Sob o aspecto da LGPD, os Correios já estão em contato com a ANPD para comunicação do evento mediante rito e protocolo estabelecido.

O que diz a LGPD

Em conversa com o Tecnoblog, o advogado Adriano Mendes, especialista em direito digital, explica que a Lei Geral de Proteção de Dados (LGPD) determina que os produtos e sistemas sejam concebidos levando em consideração os princípios da privacidade. 

Correios (Imagem: Marcos Oliveira/Agência Senado)
Correios (Imagem: Marcos Oliveira/Agência Senado)

Os Correios podem ter infringido a lei ao não impedir que dados pessoais fossem acessados sem que houvesse uma verificação de quem era o usuário por trás dessa requisição. Por outro lado, Mendes diz que parece ser também uma falha dos consumidores que deixaram informações expostas, já que elas são necessárias para conseguir o tal recibo. Por isso, o advogado aconselha que as pessoas tenham cuidado com seus dados e não os compartilhem sem necessidade.

De qualquer forma, o assunto pode vir a ser investigado pela Autoridade Nacional de Proteção de Dados (ANPD). Neste caso, se a empresa for considerada culpada, pode sofrer penalidades como advertência, suspensão das atividades e até bloqueio do sistema. Mendes considera praticamente impossível que essas duas últimas sejam postas em prática, já que o dano da paralisação de um sistema dos Correios é muito maior que o prejuízo de um vazamento de dados. Por se tratar de uma companhia pública, não há multas.

Como é preciso estar logado no sistema para fazer o download do recibo, pode ser que a empresa tenha um registro de quem faz essas requisições. Caso esse log realmente exista, os Correios deveriam comunicar quem teve seus dados expostos indevidamente.

E essas pessoas poderiam processar a empresa? Sim, mas Mendes considera improvável conseguir uma indenização por causa disso porque é necessário provar o dano causado pelo acesso não-autorizado. “Você precisaria provar que aqueles dados foram usados para abrir uma conta bancária, fazer um cartão de crédito, pegar um empréstimo, coisas desse tipo.”

Atualizado às 18h53 com posicionamento dos Correios

Receba mais sobre Correios na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Giovanni Santa Rosa

Giovanni Santa Rosa

Repórter

Giovanni Santa Rosa é formado em jornalismo pela ECA-USP e cobre ciência e tecnologia desde 2012. Foi editor-assistente do Gizmodo Brasil e escreveu para o UOL Tilt e para o Jornal da USP. Cobriu o Snapdragon Tech Summit, em Maui (EUA), o Fórum Internacional de Software Livre, em Porto Alegre (RS), e a Campus Party, em São Paulo (SP). Atualmente, é autor no Tecnoblog.

Relacionados

Como pagar a taxa DIS no site dos Correios para encomendas internacionais
Como pagar a taxa DIS no site dos Correios para encomendas internacionais
Como saber se fui taxado na Shein
Como saber se fui taxado na Shein
Como fazer o ID dos Correios
Como fazer o ID dos Correios
Como saber em qual agência dos Correios está a minha encomenda
Como saber em qual agência dos Correios está a minha encomenda
Como fazer uma reclamação nos Correios sobre entrega atrasada
Como fazer uma reclamação nos Correios sobre entrega atrasada
Como enviar algo pelos Correios [cartas, caixas, documentos e etc]
Como enviar algo pelos Correios [cartas, caixas, documentos e etc]
Exclusivo: Correios dizem que tempo médio para encaminhar produtos importados caiu 80%
Exclusivo: Correios dizem que tempo médio para encaminhar produtos importados caiu 80%
Como retirar encomendas nos Correios [Agências e Vizinho]
Como retirar encomendas nos Correios [Agências e Vizinho]
Como calcular o frete nos Correios
Como calcular o frete nos Correios
Correios negam que centro em Curitiba é exclusivo para pacotes da China [atualizado]