Falha em sistema dos Correios expõe dados pessoais em importações
Foto: Reprodução
O sistema Meu Correios dá acesso indevido a informações pessoais de outros usuários. O Tecnoblog testou o processo e confirmou: é possível fazer o download do recibo do pagamento das taxas de importação de encomendas, documento que tem dados como endereço, nome e CPF. A falta de verificação na hora de baixar o arquivo pode ferir a LGPD.
Correios deixam recibos à mostra
A falha se dá no ambiente Minhas Importações do sistema Meu Correios, que é usado para identificar encomendas e pagar os impostos devidos. No sistema, o cliente deve colocar o código de rastreio, cadastrar o seu CPF e fazer o pagamento, em caso de taxação.
No entanto, após todo esse processo ter sido feito, outro cliente pode acessar de forma indevida o Demonstrativo de Impostos e Serviços. Neste documento, há o endereço de entrega, o nome completo do destinatário e seu CPF, bem como os produtos da nota fiscal e seus valores.
A vulnerabilidade foi descoberta pelos leitores Hugo e Roberto. O Tecnoblog verificou e confirmou a existência da brecha.
A brecha é mais grave no caso de encomendas internacionais taxadas. Mas, mesmo em testes realizados com entregas não taxadas, o sistema retorna o CPF vinculado e um recibo em branco.
