Falha no site da Enel dava acesso a dados de clientes da fornecedora
Por Felipe Demartini | Editado por Wallace Moté | 08 de Março de 2024 às 15h39
Uma falha de segurança no site da distribuidora de energia Enel permitia o acesso a dados pessoais e de consumo dos clientes da fornecedora, a partir de um navegador comum. O problema estava no sistema de obtenção de contas de luz digitais, que possibilitavam baixar os boletos de outras pessoas a partir de uma manipulação da URL de acesso.
- Como saber se uma senha vazou na internet?
- 10 milhões de brasileiros têm dados vazados todos os meses
A brecha apareceu após mudanças no sistema de abertura das faturas digitais, implementadas em janeiro deste ano. Os boletos que antes eram enviados em anexos de e-mail, agora, podem ser visualizados por links diretos do site da Enel; as páginas, entretanto, não exigiam autenticação e bastava modificar o número de identificação do endereço para fazer o download de contas de terceiros.
De acordo com reportagem do Tecnoblog, que divulgou a brecha, os arquivos em PDF são protegidos por senha, mas elas podem ser quebradas facilmente. Após isso, informações como nomes completos, endereços, CPFs e outros dados pessoais dos clientes da Enel ficariam disponíveis a terceiros, assim como registros fiscais e detalhes do consumo de energia.
A fornecedora de energia elétrica não comentou o caso, mas segundo a reportagem, a brecha que permitia acesso às contas de luz de terceiros já foi solucionada. O período em que a falha esteve disponível não é conhecido, mas segundo o Tecnoblog, não há evidências de exploração por cibercriminosos.
Exposição de dados pode levar a golpes
O acesso sem autenticação às faturas poderia levar a um ataque conhecido como raspagem de dados. No método, bandidos poderiam automatizar a manipulação das URLs para download das faturas, obtendo rapidamente um grande número de contas de luz para extração de dados pessoais e outros detalhes fiscais ou de consumo.
Com tais informações, se abrem as portas para diferentes tipos de fraudes, que podem envolver contatos em nome da própria Enel ou de terceiros. Há, ainda, a possibilidade de roubo de identidade e golpes de phishing, com o envio de boletos ou cobranças falsas para os clientes da fornecedora de energia elétrica.
Mesmo sem indícios de vazamento dos dados, é importante ficar atento a e-mails ou contatos através de apps de mensagem, como o WhatsApp. Evite clicar em links, baixar arquivos anexos ou instalar apps por estes meios, além de manter softwares antivírus sempre ativos e atualizados no computador e celular.
Fonte: Tecnoblog