_Cibersegurança

Falha no site da AES Eletropaulo permitia alterações nos cadastros de 6,4 milhões de clientes

Imagine ter os dados da sua fatura de luz alterados — e, logo, parar de recebê-las. Ou um cenário pior: um corte abrupto, teoricamente solicitado por você, no fornecimento de energia. Parece coisa de filme “B” de ficção científica, mas uma falha no site da AES Eletropaulo existente até ontem permitia que isso acontecesse com […]

AES Eletropaulo entregando o ouro.

Imagine ter os dados da sua fatura de luz alterados — e, logo, parar de recebê-las. Ou um cenário pior: um corte abrupto, teoricamente solicitado por você, no fornecimento de energia. Parece coisa de filme “B” de ficção científica, mas uma falha no site da AES Eletropaulo existente até ontem permitia que isso acontecesse com os 6,4 milhões de clientes residenciais que tem na Grande São Paulo.

O problema foi descoberto pelo estudante de sistemas de informação Carlos Eduardo Santiago, de 20 anos. Segundo Carlos, um problema primário:

“É um erro primário, e eles [desenvolvedores do site] sabem que o erro existe. Sei como esses sites funcionam, mas qualquer um poderia ter descoberto [a falha], até por engano. A Eletropaulo presta um serviço público, e isso é o que me deixa mais indignado. Como vou saber se alguém viu meus dados?”

O estudante relatou a sua descoberta ao SAC da Eletropaulo na sexta, mas a solução só veio após a Folha questionar a fornecedora ontem. Até então, com o CPF e o código de instalação (informado na conta), era possível a qualquer cliente entrar na conta de outro e alterar informações básicas (telefone e email), da fatura (endereço de entrega, data de vencimento e forma de pagamento) e, pior, relatar pane elétrica e solicitar a interrupção no fornecimento de energia.

Gustavo Pimenta, vice-presidente de uma divisão de tecnologia da AES Brasil, disse:

“Nós não sabíamos desse caso específico e, assim que tomamos conhecimento, agimos rapidamente. É claro que não é uma situação desejável. É como se o cliente visse a conta de luz do vizinho.”

É um caso público que vem à tona e valida previsões nada agradáveis sobre a interferência da Internet em serviços gerais, básicos, assunto que tratamos neste especial. No caso da AES Eletropaulo, uma falha de autenticação em um link desprotegido possibilitava a invasão da conta do vizinho. A assessoria de imprensa da fornecedora informou que a falha foi corrigida e prometeu o lançamento de um novo site em novembro. [Folha]

Sair da versão mobile