Uma falha no sistema da Enel, empresa responsável pela distribuição de energia em 24 cidades da região metropolitana de São Paulo, permitiu que os clientes acessassem faturas de outros consumidores. Dessa forma, tiveram acesso a informações pessoais como nome completo, endereço, CPF, entre outros.
Segundo o site Tecnoblog, para ter acesso a uma fatura no site da empresa era necessário um número de instalação e um código de identificação. Este método estava em vigor desde janeiro do ano passado, mas foi desativado na quarta-feira passada, imediatamente após contato da equipe de reportagem.
A Enel se manifestou afirmando que segue os padrões de segurança do mercado, mas não comentou a razão pela qual a página de download foi retirada do ar. À Folha de S.Paulo, a empresa deu uma versão conflitante dos fatos, afirmando que retomou o envio de links para download de faturas com uma camada extra de segurança, exigindo um código de autenticação para acessar o PDF enviado por e-mail. No entanto, esse método também é vulnerável, pois a segurança pode ser ignorada por alguns softwares.
Ao tentar acessar a página, aparece a mensagem “acesso bloqueado”. A possibilidade de a falha de segurança ter sido explorada por agentes mal-intencionados em ataques cibernéticos não pode ser confirmada.
A vulnerabilidade encontrada permitia que hackers utilizassem scripts para baixar várias faturas dos clientes da empresa, obtendo acesso a dados sensíveis de milhões de pessoas, considerando que a Enel atende a mais de 14 milhões de brasileiros.
Devido a essa falha, a empresa pode enfrentar ação na justiça por violar a Lei Geral de Proteção de Dados (LGPD), que está em vigor desde setembro de 2020 em todo o Brasil.
