O programa de declaração do Imposto de Renda de Pessoa Física (IRPF 2021) tinha uma brecha de segurança que pode ter exposto os usuários a riscos. A falha poderia ser explorada por criminosos durante a utilização em redes compartilhadas.

De acordo com uma denuncia do site Canaltech, a falha estava no sistema de verificação de atualizações da aplicação. As checagens de atualização e downloads eram realizadas sem criptografia, o que permitia a um atacante inserir instaladores maliciosos que se passariam por updates do programa oficial.

+ Câmara aprova mudanças no Imposto de Renda; confira principais mudanças

Segundo o especialista em segurança da informação Gabriel Nunes, que notou o problema após realizar a própria declaração, a brecha aparecia tanto na versão Windows quanto Linux. O problema poderia expor os usuários a ataques do tipo man in the middle, que consistem na interceptação da comunicação entre duas partes envolvidas em uma conexão.

Com esse golpe é possível coletar dados ou inserir códigos maliciosos no lugar de informações legítimas. “Esse ataque, apesar de ser extremamente grave, está limitado apenas ao escopo da subrede do usuário, e não pode ser realizado por meio da internet ou de forma remota”, explica Nunes.

O Canaltech tentou contato com a Receita Federal e também com o Serviço Federal de Processamento de Dados (Serpro), responsável pelo desenvolvimento do software IRPF 2021. Os órgãos disseram que não se manifestariam sobre o caso.