Exclusivo: Falha em sistema dos Correios expõe dados pessoais em importações
Sem verificação, área Minhas Importações do Meu Correios permite download de recibo que contém nome completo, endereço e CPF
Sem verificação, área Minhas Importações do Meu Correios permite download de recibo que contém nome completo, endereço e CPF
O sistema Meu Correios dava acesso indevido a informações pessoais de outros usuários até esta sexta-feira (10). O Tecnoblog testou o processo e confirmou: era possível fazer o download do recibo do pagamento das taxas de importação de encomendas, documento que tem dados como endereço, nome e CPF. A falta de verificação na hora de baixar o arquivo pode ferir a LGPD.
A falha se dá no ambiente Minhas Importações do sistema Meu Correios, que é usado para identificar encomendas e pagar os impostos devidos. No sistema, o cliente deve colocar o código de rastreio, cadastrar o seu CPF e fazer o pagamento, em caso de taxação.
No entanto, após todo esse processo ter sido feito, outro cliente pode acessar de forma indevida o Demonstrativo de Impostos e Serviços. Neste documento, há o endereço de entrega, o nome completo do destinatário e seu CPF, bem como os produtos da nota fiscal e seus valores.
A vulnerabilidade foi descoberta pelos leitores Hugo e Roberto. O Tecnoblog verificou e confirmou a existência da brecha.
A brecha é mais grave no caso de encomendas internacionais taxadas. Mas, mesmo em testes realizados com entregas não taxadas, o sistema retorna o CPF vinculado e um recibo em branco.
Os leitores perceberam a falha em um grupo de importações no Facebook. Por lá, outros consumidores costumam comentar quando suas encomendas são taxadas, mas nem sempre se lembram de ocultar todos os dados.
Hugo alertou os membros do grupo. Em conversa com o Tecnoblog, ele comenta que uma simples verificação do CPF ou CNPJ deveria existir no sistema. Assim, se o documento de quem acessou o Meu Correios é diferente daquele que está vinculado à encomenda, o recibo não deveria ser exibido.
O Tecnoblog procurou os Correios na noite de 2 de setembro. Até a publicação dessa reportagem, não houve uma resposta da empresa; ainda era possível acessar informações sobre importações de outros clientes.
Após a publicação da reportagem do Tecnoblog, os Correios enviaram a seguinte resposta. Além disso, a companhia alterou o modelo do recibo, que deixou de mostrar nome, CPF e endereço.
O acesso ao ambiente Minhas Importações é realizado mediante autenticação com login e senha, sendo que este acesso é fruto de cadastro no Meu Correios. Só é possível consultar a situação de encomendas a partir do código de rastreamento, que é informação pessoal do interessado, destinatário ou importador, e não deve ser compartilhado com terceiros. Além disso, não se deve realizar consulta de informação sobre objetos de terceiros, sob a pena de desrespeito ao sigilo de correspondência, conforme Art. 5º da Lei 6.538/78.
Em atendimento à exigência imposta pela Instrução Normativa 1.737/2017 da Receita Federal, quando da consulta de objetos internacionais, os Correios disponibilizam o Demonstrativo de Impostos e Serviços (DIS), relatório com informações consolidadas em relação à referida importação. A disponibilização da DIS é mais uma garantia para o importador de que está fazendo o recolhimento do imposto devido para a remessa esperada. No entanto, apesar da consulta só ser possível mediante cessão da informação de caráter pessoal, tempestivamente, fizemos ajustes no formulário retirando do documento as informações pessoais não legalmente obrigatórias.
Sob o aspecto da LGPD, os Correios já estão em contato com a ANPD para comunicação do evento mediante rito e protocolo estabelecido.
Em conversa com o Tecnoblog, o advogado Adriano Mendes, especialista em direito digital, explica que a Lei Geral de Proteção de Dados (LGPD) determina que os produtos e sistemas sejam concebidos levando em consideração os princípios da privacidade.
Os Correios podem ter infringido a lei ao não impedir que dados pessoais fossem acessados sem que houvesse uma verificação de quem era o usuário por trás dessa requisição. Por outro lado, Mendes diz que parece ser também uma falha dos consumidores que deixaram informações expostas, já que elas são necessárias para conseguir o tal recibo. Por isso, o advogado aconselha que as pessoas tenham cuidado com seus dados e não os compartilhem sem necessidade.
De qualquer forma, o assunto pode vir a ser investigado pela Autoridade Nacional de Proteção de Dados (ANPD). Neste caso, se a empresa for considerada culpada, pode sofrer penalidades como advertência, suspensão das atividades e até bloqueio do sistema. Mendes considera praticamente impossível que essas duas últimas sejam postas em prática, já que o dano da paralisação de um sistema dos Correios é muito maior que o prejuízo de um vazamento de dados. Por se tratar de uma companhia pública, não há multas.
Como é preciso estar logado no sistema para fazer o download do recibo, pode ser que a empresa tenha um registro de quem faz essas requisições. Caso esse log realmente exista, os Correios deveriam comunicar quem teve seus dados expostos indevidamente.
E essas pessoas poderiam processar a empresa? Sim, mas Mendes considera improvável conseguir uma indenização por causa disso porque é necessário provar o dano causado pelo acesso não-autorizado. “Você precisaria provar que aqueles dados foram usados para abrir uma conta bancária, fazer um cartão de crédito, pegar um empréstimo, coisas desse tipo.”
Atualizado às 18h53 com posicionamento dos Correios
Leia | Como pagar a taxa DIS no site dos Correios para encomendas internacionais