O site da Enel apresentava uma falha que permitia o acesso aos dados dos clientes da fornecedora
11 de Março de 2024

Uma falha de segurança no site da Enel, uma distribuidora de energia, permitia o acesso a dados pessoais e de consumo dos seus clientes por meio de um navegador normal.

O problema estava no sistema de obtenção de contas de luz digitais, que possibilitava o download de faturas de outras pessoas através de uma manipulação da URL de acesso.

A falha surgiu após mudanças no sistema de abertura das faturas digitais, implementadas em janeiro deste ano.

As faturas que eram antes enviadas como anexos de e-mail agora podem ser visualizadas através de links diretos do site da Enel.

No entanto, essas páginas não exigiam autenticação e bastava alterar o número de identificação do endereço para baixar faturas de outras pessoas.

Segundo um relatório do Tecnoblog, que divulgou a falha, os arquivos PDF são protegidos por senha, mas podem ser facilmente violados.

Após isso, informações como nomes completos, endereços, CPFs e outros dados pessoais dos clientes da Enel ficariam disponíveis para terceiros, assim como registros tributários e detalhes de consumo de energia.

A Enel, fornecedora de energia elétrica, não comentou o caso, mas segundo a reportagem, a falha que permitia o acesso às contas de luz de outras pessoas já foi corrigida.

Não se sabe durante quanto tempo a falha esteve disponível, mas de acordo com o Tecnoblog, não há evidências de que cibercriminosos tenham explorado isso.

A exposição de dados pode levar a golpes.

O acesso sem autenticação às faturas poderia levar a um ataque conhecido como raspagem de dados.

Nesse método, criminosos poderiam automatizar a manipulação das URLs para baixar as faturas, conseguindo rapidamente um grande número de contas de luz para extrair dados pessoais e outros detalhes fiscais ou de consumo.

Com essas informações, vários tipos de fraudes podem ser realizadas, que podem envolver contatos em nome da própria Enel ou de terceiros.

Ainda existe a possibilidade de roubo de identidade e golpes de phishing, com o envio de contas ou cobranças falsas para os clientes da fornecedora de energia elétrica.

Mesmo sem indicações de um vazamento de dados, é importante estar atento a e-mails ou contatos feitos através de aplicativos de mensagens, como o WhatsApp.

Publicidade

Hardware Hacking

Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...