Como o site da Enel vazava nome, endereço e CPF de clientes

Uma brecha no site da Enel, concessionária que distribui energia elétrica em 24 cidades da grande São Paulo, permitiu que clientes pudessem acessar faturas de outros consumidores da empresa. Assim, visualizavam informações pessoais como nome completo, endereço, CPF, entre outros.

• "Roblox": 34 milhões jogadores têm dados expostos dark web
• Insomniac lamenta vazamento, mas garante a produção de "Marvel's Wolverine"

Conforme relatou o site Tecnoblog, para ter acesso a uma fatura no site da empresa era necessário um número de instalação e um código de identificação. O método de acesso estava em vigência desde janeiro do ano passado. Porém deixou de funcionar na última quarta-feira (6), imediatamente após contato da equipe de reportagem.

Enel traz sua versão

A empresa se pronunciou afirmando que segue os padrões de segurança adotados normalmente no mercado. Mas preferiu não comentar a razão da página de download ter sido retirada do ar.

À Folha de S.Paulo, a Enel apresentou uma versão bastante conflitante sobre os fatos. A empresa afirmou que retomou o envio dos links para download de faturas no dia 4 de março. Mas desta vez com uma maior camada de segurança, exigindo a apresentação de um código autenticador para acessar um PDF enviado via e-mail. O método é igualmente frágil já que a seguraça pode ser ignorado por alguns softwares.

Ao acessar a página, no entanto, uma mensagem de “acesso bloqueado” é exibida. A reportagem do Tecnoblog deixou claro que não é possível precisar se a brecha de segurança foi explorada por agentes mal intencionados em ataques cibernéticos.

Hackers criam FraudGPT com IA maliciosa para gerar golpes com um clique

A vulnerabilidade encontrada permitia que hackers utilizassem scripts de raspadores de dados para baixar múltiplas faturas de clientes da concessionária, obtendo assim acesso a dados sensíveis de milhões de pessoas — considerando que a Enel presta serviço para mais de 14 milhões de brasileiros.

Por conta desta brecha, a empresa pode ainda responder na justiça por violar a Lei Geral de Proteção de Dados (LGPD), que vigora desde setembro de 2020 em todo o território nacional.