Início » Antivírus e Segurança » Site da Eletropaulo expõe dados de 6 milhões de clientes

Site da Eletropaulo expõe dados de 6 milhões de clientes

Paulo Higa Por

Uma brecha de segurança no site da AES Eletropaulo dava acesso aos dados pessoais dos clientes da distribuidora de energia elétrica, que atua em 24 municípios da Grande São Paulo, incluindo a capital. No pior cenário, um usuário mal-intencionado poderia solicitar a interrupção do fornecimento de energia de outro cliente.

A falha foi descoberta por Carlos Eduardo Santiago, estudante de Sistemas de Informação. A vulnerabilidade era explorada em apenas cinco passos e exigia que o usuário tivesse em mãos o CPF do titular e o número de instalação, que está disponível na fatura. A Folha afirma que o problema ainda acontecia até as 18h30 de ontem.

Tem um banner com a palavra "Segurança" no site da Eletropaulo

Com uma alteração na URL da página da Eletropaulo, um cliente da concessionária poderia entrar na conta de outro cliente e alterar desde informações básicas, como teletone e email do titular, até dados que poderiam causar grandes problemas, como a data de vencimento e o endereço de entrega. Além disso, com acesso irrestrito, um usuário também poderia relatar panes elétricas, solicitar o desligamento de energia e acessar a fatura dos últimos 13 meses.

A Eletropaulo, que possui 6,1 milhões de clientes, disse que este é o primeiro problema de segurança descoberto no site e trabalhou rapidamente na falha, mas a Folha aponta que o estudante reportou a brecha no dia 31 e a empresa só começou a resolver o caso ontem. A concessionária de energia afirmou que a vulnerabilidade já foi removida e adiantou que pretende lançar um novo site por volta do mês de novembro. Dessa vez, esperamos, sem a falha.