Falha no site da Enel dava acesso a dados de clientes da fornecedora

por | |

Uma falha de segurança no site da distribuidora de energia Enel permitia o acesso a dados pessoais e de consumo dos clientes da fornecedora, a partir de um navegador comum. O problema estava no sistema de obtenção de contas de luz digitais, que possibilitavam baixar os boletos de outras pessoas a partir de uma manipulação da URL de acesso.

  • Como saber se uma senha vazou na internet?
  • 10 milhões de brasileiros têm dados vazados todos os meses

A brecha apareceu após mudanças no sistema de abertura das faturas digitais, implementadas em janeiro deste ano. Os boletos que antes eram enviados em anexos de e-mail, agora, podem ser visualizados por links diretos do site da Enel; as páginas, entretanto, não exigiam autenticação e bastava modificar o número de identificação do endereço para fazer o download de contas de terceiros.

De acordo com reportagem do Tecnoblog, que divulgou a brecha, os arquivos em PDF são protegidos por senha, mas elas podem ser quebradas facilmente. Após isso, informações como nomes completos, endereços, CPFs e outros dados pessoais dos clientes da Enel ficariam disponíveis a terceiros, assim como registros fiscais e detalhes do consumo de energia.


CT no Flipboard: você já pode assinar gratuitamente as revistas Canaltech no Flipboard do iOS e Android e acompanhar todas as notícias em seu agregador de notícias favorito.

Reportagem do Tecnoblog foi capaz de baixar diferentes faturas de clientes a partir de brecha de segurança no site da Enel (Imagem: Reprodução/Tecnoblog)

A fornecedora de energia elétrica não comentou o caso, mas segundo a reportagem, a brecha que permitia acesso às contas de luz de terceiros já foi solucionada. O período em que a falha esteve disponível não é conhecido, mas segundo o Tecnoblog, não há evidências de exploração por cibercriminosos.

Exposição de dados pode levar a golpes

O acesso sem autenticação às faturas poderia levar a um ataque conhecido como raspagem de dados. No método, bandidos poderiam automatizar a manipulação das URLs para download das faturas, obtendo rapidamente um grande número de contas de luz para extração de dados pessoais e outros detalhes fiscais ou de consumo.

Com tais informações, se abrem as portas para diferentes tipos de fraudes, que podem envolver contatos em nome da própria Enel ou de terceiros. Há, ainda, a possibilidade de roubo de identidade e golpes de phishing, com o envio de boletos ou cobranças falsas para os clientes da fornecedora de energia elétrica.

Mesmo sem indícios de vazamento dos dados, é importante ficar atento a e-mails ou contatos através de apps de mensagem, como o WhatsApp. Evite clicar em links, baixar arquivos anexos ou instalar apps por estes meios, além de manter softwares antivírus sempre ativos e atualizados no computador e celular.

Leia a matéria no Canaltech.

Trending no Canaltech:

  • GPUs intermediárias RTX 4060 TI e RX 7700 XT começam a cair de preço
  • Crime com deepfake de mulheres pode ter a pena aumentada
  • Microsoft tem 5 mil vagas para mulheres em curso de programação
  • Morre Akira Toriyama, criador de Dragon Ball
  • Mortal Kombat 1 fica de graça por tempo limitado
  • Dia da Mulher: participação feminina chega a 49% na ciência brasileira
Adicionar aos favoritos o Link permanente.