Uma falha no site da Enel, empresa responsável pela distribuição de energia elétrica em 24 cidades da grande São Paulo, permitiu que clientes acessassem faturas de outros consumidores. Com isso, foi possível visualizar informações pessoais como nome completo, endereço e CPF, entre outros.
De acordo com o site Tecnoblog, para acessar uma fatura no site da empresa era necessário um número de instalação e um código de identificação. Esse método de acesso estava em vigor desde janeiro do ano passado, mas foi desativado na última quarta-feira, após contato da equipe de reportagem.
A Enel se pronunciou, afirmando que segue os padrões de segurança adotados no mercado, mas não comentou sobre o motivo da retirada da página de download do ar.
Segundo a empresa, os links para download de faturas foram retomados no dia 4 de março, porém com uma camada extra de segurança, exigindo um código autenticador para acessar um PDF enviado por e-mail. No entanto, esse método também foi considerado vulnerável, pois pode ser ignorado por alguns softwares.
A mensagem de “acesso bloqueado” é exibida ao tentar acessar a página. Não é possível afirmar se a brecha de segurança foi explorada por agentes mal-intencionados em ataques cibernéticos.
Essa vulnerabilidade encontrada permitia que hackers usassem scripts para baixar várias faturas de clientes da concessionária, obtendo acesso a dados sensíveis de milhões de pessoas, considerando que a Enel atende a mais de 14 milhões de brasileiros.
Por conta dessa falha, a empresa pode enfrentar processos judiciais por violar a Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020 em todo o Brasil.
