Uma falha de segurança no site da Enel, uma distribuidora de energia, permitia o acesso a dados pessoais e de consumo dos seus clientes por meio de um navegador normal.
O problema estava no sistema de obtenção de contas de luz digitais, que possibilitava o download de faturas de outras pessoas através de uma manipulação da URL de acesso.
A falha surgiu após mudanças no sistema de abertura das faturas digitais, implementadas em janeiro deste ano.
As faturas que eram antes enviadas como anexos de e-mail agora podem ser visualizadas através de links diretos do site da Enel.
No entanto, essas páginas não exigiam autenticação e bastava alterar o número de identificação do endereço para baixar faturas de outras pessoas.
Segundo um relatório do Tecnoblog, que divulgou a falha, os arquivos PDF são protegidos por senha, mas podem ser facilmente violados.
Após isso, informações como nomes completos, endereços, CPFs e outros dados pessoais dos clientes da Enel ficariam disponíveis para terceiros, assim como registros tributários e detalhes de consumo de energia.
A Enel, fornecedora de energia elétrica, não comentou o caso, mas segundo a reportagem, a falha que permitia o acesso às contas de luz de outras pessoas já foi corrigida.
Não se sabe durante quanto tempo a falha esteve disponível, mas de acordo com o Tecnoblog, não há evidências de que cibercriminosos tenham explorado isso.
A exposição de dados pode levar a golpes.
O acesso sem autenticação às faturas poderia levar a um ataque conhecido como raspagem de dados.
Nesse método, criminosos poderiam automatizar a manipulação das URLs para baixar as faturas, conseguindo rapidamente um grande número de contas de luz para extrair dados pessoais e outros detalhes fiscais ou de consumo.
Com essas informações, vários tipos de fraudes podem ser realizadas, que podem envolver contatos em nome da própria Enel ou de terceiros.
Ainda existe a possibilidade de roubo de identidade e golpes de phishing, com o envio de contas ou cobranças falsas para os clientes da fornecedora de energia elétrica.
Mesmo sem indicações de um vazamento de dados, é importante estar atento a e-mails ou contatos feitos através de aplicativos de mensagens, como o WhatsApp.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...