Ir para conteúdo
  • Cadastre-se

dev botao

  • Este tópico foi criado há 2612 dias atrás.
  • Talvez seja melhor você criar um NOVO TÓPICO do que postar uma resposta aqui.

Recommended Posts

Postado

Olá, acabei de receber uma ligação de um comprador de um cliente. Esse sujeito já foi programador. O cara teve a coragem de me falar a última nota fiscal emitida pela minha empresa hoje, EM PDF!!! Até me encaminhou por email.
Aliás, está tentando me vender o serviço de "bloqueio" dessas informações, já que meus concorrentes podem também ter essas notas fiscais. Meu sistema na empresa é bastante protegido, com CISCO, Firewalls, antivírus originais, etc. Ou seja, ele não está invadindo meu servidor em si, mas alguma comunicação minha do meu emissor com a SEFAZ/SP. Estou quebrando a cabeça com isso. Vi que existe a possibilidade da própria SEFAZ bloquear o meu acesso ao emissor caso o download ultrapasse um limite X de acessos. Alguém pode me dar um caminho sem eu ter que colocá-lo na cadeia imediatamente? Honestamente, só queria que minhas comunicações ficassem realmente protegidas.

  • Consultores
Postado

Olá Marcelo,

13 minutos atrás, Marcelo Degaspari disse:

acabei de receber uma ligação de um comprador de um cliente

você poderia explicar melhor seu problema? Acho que não entendi.

13 minutos atrás, Marcelo Degaspari disse:

seja, ele não está invadindo meu servidor em si, mas alguma comunicação minha do meu emissor com a SEFAZ/SP

Pergunta importante: Como seu sistema emite NFe? É um sistema Web?

[]'s

Consultor SAC ACBr

Elton
Profissionalize o ACBr na sua empresa, conheça o ACBr Pro.

Projeto ACBr     Telefone:(15) 2105-0750 WhatsApp(15)99790-2976.

Um engenheiro de Controle de Qualidade(QA) entra num bar. Pede uma cerveja. Pede zero cervejas.
Pede 99999999 cervejas. Pede -1 cervejas. Pede um jacaré. Pede asdfdhklçkh.
Postado
59 minutos atrás, Marcelo Degaspari disse:

Olá, acabei de receber uma ligação de um comprador de um cliente. Esse sujeito já foi programador. O cara teve a coragem de me falar a última nota fiscal emitida pela minha empresa hoje, EM PDF!!! Até me encaminhou por email.
Aliás, está tentando me vender o serviço de "bloqueio" dessas informações, já que meus concorrentes podem também ter essas notas fiscais. Meu sistema na empresa é bastante protegido, com CISCO, Firewalls, antivírus originais, etc. Ou seja, ele não está invadindo meu servidor em si, mas alguma comunicação minha do meu emissor com a SEFAZ/SP. Estou quebrando a cabeça com isso. Vi que existe a possibilidade da própria SEFAZ bloquear o meu acesso ao emissor caso o download ultrapasse um limite X de acessos. Alguém pode me dar um caminho sem eu ter que colocá-lo na cadeia imediatamente? Honestamente, só queria que minhas comunicações ficassem realmente protegidas.

Boa tarde,

sugiro a leitura deste tópico abaixo

Bem provável, que ele tenha detectado q seu sistema emite notas onde o cNF é igual ao nNF, facilitando assim a descoberta da chave de acesso das outras notas.

Att

Ricardo

Postado

Olá pessoal, ontem e antes de ontem não acessei aqui... viagem a negócios. 

Pois bem, ele não copia e emite notas fiscais em meu nome não. Ele consegue ver as notas que eu emiti!!! Estava com ele ao telefone e ele me disse, "olha, vc vendeu x produto a x reais para o x cliente, nota fiscal y. Emitiu tb uma NFe XXXX, para o cliente x a x reais o valor do produto x".

Ou seja, ele tem acesso ao XML e PDF de todas as notas que emito.

Alterei todas as senhas possíveis (e que eu me lembrasse) por enquanto. Inclusive do Certificado Digital (tenho 2) e consegui ver que ele não hackeia o meu servidor (o que me deu um pouco de tranquilidade, pelo menos).

O que esse cara consegue fazer é, enquanto fala comigo ao telefone, me conta quais as notas foram emitidas hoje, por mim, aos meus diversos clientes. Não sei o que é cNF ou nNF, vou me informar. 

Eu emito NFes por sistema mesmo. Utilizo um software de gestão empresarial profissional chamado Supersoft.

Obrigado pela ajuda ou ideias pessoal. Fico realmente agradecido.

Abraços,

  • Moderadores
Postado
7 minutos atrás, Marcelo Degaspari disse:

Eu emito NFes por sistema mesmo. Utilizo um software de gestão empresarial profissional chamado Supersoft.

Pegue uma NFe emitida e veja a chave da NF-e, são 44 caracteres, compostas pelos campos:

chavenfe.png

nNF é o Número da NF-e.

cNF é o Código Numérico.

O código numérico deve ser um número aleatório, ele existe para que terceiros não consigam adivinhar a chave de outra nota da mesma empresa. Se o código numérico for igual ao número da NF-e, seu sistema está vulnerável.

Entre em contato com o suporte deles.

  • Curtir 2
Equipe ACBr BigWings
Ajude o Projeto ACBr crescer - Assine o SAC

Projeto ACBr

 

 

  • Moderadores
Postado (editado)

O sistema deve enviar as NF-e (xml e pdf) por email automaticamente. Então o problema pode ser que os seus emails estão sendo acessados de alguma forma, talvez o problema esteja no seu provedor de email. Verifique também se os emails com os xmls estão sendo enviados com cópia para alguém. 
 

Editado por Gr@c@
  • Curtir 1
Postado (editado)
25 minutos atrás, BigWings disse:

Pegue uma NFe emitida e veja a chave da NF-e, são 44 caracteres, compostas pelos campos:

chavenfe.png

nNF é o Número da NF-e.

cNF é o Código Numérico.

O código numérico deve ser um número aleatório, ele existe para que terceiros não consigam adivinhar a chave de outra nota da mesma empresa. Se o código numérico for igual ao número da NF-e, seu sistema está vulnerável.

Entre em contato com o suporte deles.

Peguei uma nota aqui e segui essa tabela. 

O nNF e o cNF estão diferentes, mas não muito. Exemplo prático ok? Com base na NFe que tenho em mãos: nNF: 000045398 e cNF 00045811.

Vi que estava diferente. Mas por curiosidade peguei uma outra nota, a nNF 000045396 com cNF 0045809.

Olhem que interessante, a diferença entre o nNF e o cNF é sempre 413.

Como esse sujeito é meu cliente, ele pode ter pegado várias notas minhas e viu esse padrão de diferença, correto? Ou estou viajando muito na maionese?

Abraços,

 

 

Editado por Marcelo Degaspari
Postado
17 minutos atrás, Daniel Simoes disse:

por isso que o cNF deve ser randômico...

Reporte o problema a Sw.House... eles precisam corrigir isso...

Por favor, o que é Sw.House? Desculpa minha insistência e ignorância.

Abraços,

  • Fundadores
Postado
3 minutos atrás, Marcelo Degaspari disse:

Por favor, o que é Sw.House? Desculpa minha insistência e ignorância.

Software House... é a empresa que desenvolveu o seu sistema...

Consultor SAC ACBr

Daniel Simões de Almeida
O melhor TEF, é com o Projeto ACBr - Clique e Conheça
Ajude o Projeto ACBr crescer - Assine o SAC

Projeto ACBr     Telefone:(15) 2105-0750 WhatsApp(15)99790-2976.

Postado

Entrei em contato. Vamos ver se/quando conseguem resolver esse ponto de vulnerabilidade.

Mas me digam.... como que a pessoa, sabendo que meu cNF segue um padrão com o nNF, consegue acessar TODAS as minhas Nfes?

Porque parece que o acesso dele é bem rápido, ou seja, conversando com ele por telefone, ele já sabia o que eu tinha emitido naquele dia!!

E o cara ainda deixou escapar que estava no balcão da loja (não no próprio escritório) e mesmo assim, pelo computador da loja que ele trabalha, ele conseguia acessar. Ou seja, está usando algo Web mesmo.

Abraços,

 

Postado
1 hora atrás, Gr@c@ disse:

O sistema deve enviar as NF-e (xml e pdf) por email automaticamente. Então o problema pode ser que os seus emails estão sendo acessados de alguma forma, talvez o problema esteja no seu provedor de email. Verifique também se os emails com os xmls estão sendo enviados com cópia para alguém. 
 

@Marcelo Degaspari
Ou mesmo uma base de dados que permita um acesso remoto ou mesmo na nuvem pode possibilitar um acesso fácil. Um banco de dados com uma configuração default e uma porta aberta é algo que pode ser explorado e não requer muito conhecimento.

Eu mesmo conheço vários sistemas em que o desenvolvedor mantém os parâmetros de conexão no componente database.
 

Equipe ACBr Sérgio Assunção
Ajude o Projeto ACBr crescer - Assine o SAC

Projeto ACBr

 

[email protected]

  • Fundadores
Postado
2 horas atrás, Marcelo Degaspari disse:

Mas me digam.... como que a pessoa, sabendo que meu cNF segue um padrão com o nNF, consegue acessar TODAS as minhas Nfes?

Com base das informações... ele computa a chave e consulta a mesma no site do Sefaz

http://www.nfe.fazenda.gov.br/portal/consulta.aspx?tipoConsulta=completa&tipoConteudo=XbSeqxE8pl8=

Consultor SAC ACBr

Daniel Simões de Almeida
O melhor TEF, é com o Projeto ACBr - Clique e Conheça
Ajude o Projeto ACBr crescer - Assine o SAC

Projeto ACBr     Telefone:(15) 2105-0750 WhatsApp(15)99790-2976.

  • Consultores
Postado

 

2 horas atrás, Marcelo Degaspari disse:

Entrei em contato. Vamos ver se/quando conseguem resolver esse ponto de vulnerabilidade.

Veja bem, eles precisam corrigir ou te orientar. Eles tem conhecimento do funcionamento do sistema deles e provavelmente da sua infraestrutura.

[]'s

Consultor SAC ACBr

Elton
Profissionalize o ACBr na sua empresa, conheça o ACBr Pro.

Projeto ACBr     Telefone:(15) 2105-0750 WhatsApp(15)99790-2976.

Um engenheiro de Controle de Qualidade(QA) entra num bar. Pede uma cerveja. Pede zero cervejas.
Pede 99999999 cervejas. Pede -1 cervejas. Pede um jacaré. Pede asdfdhklçkh.
Postado (editado)

Todas as Notas Fiscais tem a mesma forma de composição da chave, é uma regra padrão pra todos, porém acho que quem está fazendo isso com você está tentando  atormentar  você ou conseguir algo com isso "tipo vender o produto dele".

-Afinal se tiver alguma vulnerabilidade, todos que emitem nota no brasil estarão vulnerareis, pois todos geram as chaves de notas da mesma maneira.

-Analisando assim meio por cima diria que esse cara pegou algum xml seu e esta bricando de dar sequencia nos próximos números.

Editado por renardk
Postado

Obrigado pela ajuda pessoal... de verdade. Se tiver alguma questão jurídica é só me perguntar. Da mesma forma que não manjo nada de programação e NFe, conheço bastante de leis (sou advogado).

Estou aguardando um posicionamento da Supersoft para resolver essa questão da cNF. Assim que tiver algum posicionamento eu informo aqui.

Abraços,

  • Curtir 2
  • Este tópico foi criado há 2612 dias atrás.
  • Talvez seja melhor você criar um NOVO TÓPICO do que postar uma resposta aqui.

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar Agora
×
×
  • Criar Novo...

Informação Importante

Colocamos cookies em seu dispositivo para ajudar a tornar este site melhor. Você pode ajustar suas configurações de cookies, caso contrário, assumiremos que você está bem para continuar.