Uma falha de segurança no site da Enel, uma distribuidora de energia, permitia o acesso a dados pessoais e de consumo dos seus clientes por meio de um navegador normal.
O problema estava no sistema de obtenção de contas de luz digitais, que possibilitava o download de faturas de outras pessoas através de uma manipulação da URL de acesso.
A falha surgiu após mudanças no sistema de abertura das faturas digitais, implementadas em janeiro deste ano.
As faturas que eram antes enviadas como anexos de e-mail agora podem ser visualizadas através de links diretos do site da Enel.
No entanto, essas páginas não exigiam autenticação e bastava alterar o número de identificação do endereço para baixar faturas de outras pessoas.
Segundo um relatório do Tecnoblog, que divulgou a falha, os arquivos PDF são protegidos por senha, mas podem ser facilmente violados.
Após isso, informações como nomes completos, endereços, CPFs e outros dados pessoais dos clientes da Enel ficariam disponíveis para terceiros, assim como registros tributários e detalhes de consumo de energia.
A Enel, fornecedora de energia elétrica, não comentou o caso, mas segundo a reportagem, a falha que permitia o acesso às contas de luz de outras pessoas já foi corrigida.
Não se sabe durante quanto tempo a falha esteve disponível, mas de acordo com o Tecnoblog, não há evidências de que cibercriminosos tenham explorado isso.
A exposição de dados pode levar a golpes.
O acesso sem autenticação às faturas poderia levar a um ataque conhecido como raspagem de dados.
Nesse método, criminosos poderiam automatizar a manipulação das URLs para baixar as faturas, conseguindo rapidamente um grande número de contas de luz para extrair dados pessoais e outros detalhes fiscais ou de consumo.
Com essas informações, vários tipos de fraudes podem ser realizadas, que podem envolver contatos em nome da própria Enel ou de terceiros.
Ainda existe a possibilidade de roubo de identidade e golpes de phishing, com o envio de contas ou cobranças falsas para os clientes da fornecedora de energia elétrica.
Mesmo sem indicações de um vazamento de dados, é importante estar atento a e-mails ou contatos feitos através de aplicativos de mensagens, como o WhatsApp.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...