skip to Main Content
24 de junho de 2021 | 02:29 pm

FALHA DE SEGURANÇA EXPÕE DADOS DE SERVIDORES DA PREFEITURA DE ITABUNA

Tempo de leitura: 2 minutos
Falha de segurança expõe dados de servidores do município de Itabuna (Reprodução).

Falha de segurança expõe dados de servidores do município de Itabuna (Reprodução).

Uma falha no sistema de emissão de contracheques da Prefeitura de Itabuna está expondo os dados de servidores municipais. O erro ocorre na validação dos contracheques na internet (confira página aqui), conforme denúncias.

Élio David é da área de Sistemas de Informação. Consultado pelo Pimenta, ele disse que o erro, possivelmente, se dá porque a Prefeitura usa chave de validação com numeração sequencial para os servidores. Além dos dados de contracheque, o sistema expõe o nome do servidor, matrícula e CPF.

A falha permite que se tenha acesso a dados sem “nem mesmo preencher novamente caracteres de validação”, bastando apenas mudar o número sequencial. Por exemplo, se um servidor tem chave sequencial 0000029100, digitando 0000029101 se terá acesso a dados de outro funcionário municipal.

Para David, a correção do problema depende de algo simples:

– O ideal seria que essas chaves fossem um valor hexadecimal, ou um número inteiro com dígito verificador.

Assim, quem tem acesso à chave de validação de um servidor, basta inserir um número sequencial para ter acesso a dados de outro funcionário.

SISTEMA É TERCEIRIZADO

A Prefeitura contratou o serviço à empresa E&L Produções de Software, do município de Domingos Martins, no estado do Espírito Santo. O valor do contrato não é informado. O PIMENTA entrou em contato com a Assessoria de Comunicação do município, mas o responsável pelo setor de Recursos Humanos nem a secretária de Administração, Mariana Alcântara, estavam no Centro Administrativo Firmino Alves para comentar a falha da E&L.

O contrato com a E&L sempre foi questionado internamente. Na área de Tecnologia da Informação, servidores efetivos desenvolveram programas para geração da folha de pagamento e, também, de emissão de nota fiscal eletrônica. Os dois trabalhos foram descartados pelo município para contratar a E&L. A justificativa era de que qualquer servidor poderia entrar no sistema próprio do município e alterar dados, por exemplo, da folha de pagamento.

Deixe seu comentário:

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Back To Top