Uma falha nos sites de Notas Fiscais de Serviços de diversas prefeituras, entre elas, a cidade de São Leopoldo, expõe dados de consumidores tomadores de serviços destas cidades.
A falha, permite que um atacante com um CNPJ, possa baixar o arquivo XML no padrão ABRASF de qualquer NFS-e emitida, bastando o CNPJ e o número da NFS-e, visto que o sistema não valida o campo chamado "Código Verificação", o qual seria um código exclusivo para cada NFS-e emitida.
Na reprodução da falha, a qual pode ser vista no vídeo abaixo, a pesquisa é realizada com o CNPJ, o código de verificação com uma sequencia de 1 a 0 e o numero da NFS-e (na qual neste fornecedor é baseada em ANO/NUMERO). O fato do numero da NFS-e ser sequencial após o ano, permite a execução de scripts para download automático, visto também, que a "Palavra de verificação" (um tipo de captcha) implementado não expira após o download do arquivo, permanecendo ativo.
A falha foi comunicada a prefeitura de São Leopoldo no dia 01/04/2021. Sem resposta, a falha foi enviada a desenvolvedora do software no dia 10/05/2021.
A desenvolvedora apenas relatou estar trabalhando, sem prazo ainda para envio de correção.
A falha pode ser agravada, pois a própria prefeitura disponibiliza em seu portal, uma relação de empresas autorizadas a emitir NFS-e em homologação.
Tendo em vista o descaso da prefeitura e seu fornecedor em relação ao tema, a falha está sendo divulgada para conhecimento público.
Atualização em 08/06/2021 - 16:50
Conforme contato recebido pela Thema Informática, todas as paginas contendo a falha em questão tiveram seus acessos bloqueados. A empresa esclareceu que segue trabalhando na correção da referida falha.