O sistema Meu Correios dá acesso indevido a informações pessoais de outros usuários. O Tecnoblog testou o processo e confirmou: é possível fazer o download do recibo do pagamento das taxas de importação de encomendas, documento que tem dados como endereço, nome e CPF. A falta de verificação na hora de baixar o arquivo pode ferir a LGPD.
Correios deixam recibos à mostra
A falha se dá no ambiente Minhas Importações do sistema Meu Correios, que é usado para identificar encomendas e pagar os impostos devidos. No sistema, o cliente deve colocar o código de rastreio, cadastrar o seu CPF e fazer o pagamento, em caso de taxação.
No entanto, após todo esse processo ter sido feito, outro cliente pode acessar de forma indevida o Demonstrativo de Impostos e Serviços. Neste documento, há o endereço de entrega, o nome completo do destinatário e seu CPF, bem como os produtos da nota fiscal e seus valores.
A vulnerabilidade foi descoberta pelos leitores Hugo e Roberto. O Tecnoblog verificou e confirmou a existência da brecha.
A brecha é mais grave no caso de encomendas internacionais taxadas. Mas, mesmo em testes realizados com entregas não taxadas, o sistema retorna o CPF vinculado e um recibo em branco.
Os leitores perceberam a falha em um grupo de importações no Facebook. Por lá, outros consumidores costumam comentar quando suas encomendas são taxadas, mas nem sempre se lembram de ocultar todos os dados.
Hugo alertou os membros do grupo. Em conversa com o Tecnoblog, ele comenta que uma simples verificação do CPF ou CNPJ deveria existir no sistema. Assim, se o documento de quem acessou o Meu Correios é diferente daquele que está vinculado à encomenda, o recibo não deveria ser exibido.
Correios não se pronunciam e falha continua ativa
O Tecnoblog procurou os Correios na noite de 2 de setembro. Até a publicação dessa reportagem, não houve uma resposta da empresa. Questionada, a assessoria disse estar confirmando algumas informações.
Até o momento, ainda é possível acessar informações sobre importações de outros clientes.
O que diz a LGPD
Em conversa com o Tecnoblog , o advogado Adriano Mendes, especialista em direito digital, explica que a Lei Geral de Proteção de Dados (LGPD) determina que os produtos e sistemas sejam concebidos levando em consideração os princípios da privacidade.
Os Correios podem ter infringido a lei ao não impedir que dados pessoais fossem acessados sem que houvesse uma verificação de quem era o usuário por trás dessa requisição. Por outro lado, Mendes diz que parece ser também uma falha dos consumidores que deixaram informações expostas, já que elas são necessárias para conseguir o tal recibo. Por isso, o advogado aconselha que as pessoas tenham cuidado com seus dados e não os compartilhem sem necessidade.
De qualquer forma, o assunto pode vir a ser investigado pela Autoridade Nacional de Proteção de Dados (ANPD). Neste caso, se a empresa for considerada culpada, pode sofrer penalidades como advertência, suspensão das atividades e até bloqueio do sistema. Mendes considera praticamente impossível que essas duas últimas sejam postas em prática, já que o dano da paralisação de um sistema dos Correios é muito maior que o prejuízo de um vazamento de dados. Por se tratar de uma companhia pública, não há multas.
Como é preciso estar logado no sistema para fazer o download do recibo, pode ser que a empresa tenha um registro de quem faz essas requisições. Caso esse log realmente exista, os Correios deveriam comunicar quem teve seus dados expostos indevidamente.
E essas pessoas poderiam processar a empresa? Sim, mas Mendes considera improvável conseguir uma indenização por causa disso porque é necessário provar o dano causado pelo acesso não-autorizado. "Você precisaria provar que aqueles dados foram usados para abrir uma conta bancária, fazer um cartão de crédito, pegar um empréstimo, coisas desse tipo".