Uma falha no site da Enel, empresa que distribui energia elétrica em 24 cidades da região metropolitana de São Paulo, permitiu que os clientes acessassem faturas de outros consumidores. Dessa forma, eles conseguiam visualizar informações pessoais como nome completo, endereço, CPF, entre outros.
De acordo com o site Tecnoblog, para acessar uma fatura no site da empresa, era necessário um número de instalação e um código de identificação. Esse método estava em vigor desde janeiro do ano passado, mas foi desativado na última quarta-feira, imediatamente após o contato da equipe de reportagem.
A Enel emitiu uma declaração afirmando que segue os padrões de segurança do mercado, mas não comentou o motivo pelo qual a página de download foi removida do ar.
Segundo a Folha de S.Paulo, a Enel deu uma versão contraditória dos fatos, informando que retomou o envio dos links para o download de faturas em 4 de março, com uma camada adicional de segurança, exigindo um código autenticador para acessar um PDF enviado por e-mail. No entanto, esse método também é vulnerável, já que a segurança pode ser ignorada por alguns softwares.
Ao tentar acessar a página, uma mensagem de “acesso bloqueado” é exibida. Não é possível determinar se a falha de segurança foi explorada por agentes mal intencionados em ataques cibernéticos.
A vulnerabilidade encontrada permitia que hackers usassem scripts para baixar múltiplas faturas de clientes da empresa, obtendo assim acesso a dados sensíveis de milhões de pessoas. Considerando que a Enel atende mais de 14 milhões de brasileiros, essa situação levanta preocupações com a violação da Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020 em todo o país.
