Uma falha no site da Enel, concessionária responsável pela distribuição de energia em 24 cidades da região metropolitana de São Paulo, permitiu que clientes acessassem faturas de outros consumidores da empresa, visualizando informações pessoais como nome completo, endereço e CPF.
De acordo com informações do site Tecnoblog, para acessar uma fatura no site da empresa era necessário um número de instalação e um código de identificação. Esse método estava em vigor desde janeiro do ano anterior, porém foi desativado na última quarta-feira, após contato da equipe de reportagem.
A Enel emitiu uma declaração afirmando que segue os padrões de segurança do mercado, mas não explicou o motivo pelo qual a página de download foi retirada do ar. Segundo a empresa, voltaram a enviar links para o download de faturas a partir do dia 4 de março, porém agora com uma camada adicional de segurança, exigindo um código autenticador para acessar o PDF enviado por e-mail.
A vulnerabilidade encontrada poderia permitir que hackers utilizassem scripts para baixar várias faturas de clientes, acessando dados sensíveis de milhões de pessoas, uma vez que a Enel atende mais de 14 milhões de brasileiros. Por conta dessa falha, a empresa pode enfrentar problemas legais por descumprir a Lei Geral de Proteção de Dados (LGPD).
