Uma brecha de segurança no site da AES Eletropaulo dava acesso aos dados pessoais dos clientes da distribuidora de energia elétrica, que atua em 24 municípios da Grande São Paulo, incluindo a capital. No pior cenário, um usuário mal-intencionado poderia solicitar a interrupção do fornecimento de energia de outro cliente.

A falha foi descoberta por Carlos Eduardo Santiago, estudante de Sistemas de Informação. A vulnerabilidade era explorada em apenas cinco passos e exigia que o usuário tivesse em mãos o CPF do titular e o número de instalação, que está disponível na fatura. A Folha afirma que o problema ainda acontecia até as 18h30 de ontem.

Tem um banner com a palavra “Segurança” no site da Eletropaulo

Com uma alteração na URL da página da Eletropaulo, um cliente da concessionária poderia entrar na conta de outro cliente e alterar desde informações básicas, como teletone e email do titular, até dados que poderiam causar grandes problemas, como a data de vencimento e o endereço de entrega. Além disso, com acesso irrestrito, um usuário também poderia relatar panes elétricas, solicitar o desligamento de energia e acessar a fatura dos últimos 13 meses.

A Eletropaulo, que possui 6,1 milhões de clientes, disse que este é o primeiro problema de segurança descoberto no site e trabalhou rapidamente na falha, mas a Folha aponta que o estudante reportou a brecha no dia 31 e a empresa só começou a resolver o caso ontem. A concessionária de energia afirmou que a vulnerabilidade já foi removida e adiantou que pretende lançar um novo site por volta do mês de novembro. Dessa vez, esperamos, sem a falha.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Carolina Kadix
desde que conheço o site da eletropaulo, isso SEMPRE foi assim, deve ter no mínimo 2 anos, bastava informar o CPF e o numero do registro. E agora, o site está fora do ar, sem nenhum aviso decente, total falta de respeito. deviam ao menos ter deixado uma mensagem explicando que o site está em manutenção.
Carlos Eduardo Santiago
Sim, muitos usam youtube... Por isso crianças usam havij e Loic e acham que sao hackers... Porém, hackear hoje em dia dá grana... E tem muita gente boa usando exploits dos mais variados tipos... Quem derruba site, aprende no youtube, na maioria...
@qgustavor
Hackear sites lotados de usuários por erros vergonhosos: trabalhamos. O que me lembra o dia que eu troquei Av senha de muitos porque o "trocar minha senha" não tinha nenhuma autenticação. Arrumaram esse erro: uma chave única por usuário como método de autenticação, que podia ser pega acessando o perfil do usuário. Tenho vergonha dos webmasters e hackers brasileiros ( alguém já hackeou um pra ver que a maioria usa YouTube como escola? ).
Carlos Eduardo Santiago
Dei uma entrevista na record, e tem mais 10 grandes sites com erros O da Eletropaulo foi surpresa Sim, falta consutoria de segurança!!! Id, exploit, até de banco peguei erro... Posto o video da eletropaulo em breve... Att,
Felipe Vigo
É a famosa criação nasco. Nas Coxas. Vai saber o real motivo dessa falha existir. Vai desde pagar pouco até um programador mal intencionado, passando por programador com pouca experiência, etc, etc, etc.
YanGM
Esses webmasters brasileiros são uma cegonha.
@viniciussalvati
Id de usuário na URL. Até quando?
Paulo Zanatta
Bem que o Carlos Eduardo poderia vasculhar um pouco o www.celpe.com.br. O site é tão maravilhoso que duvido que ele encontre uma falha de segurança.
André Lima
2012 e tem gente passando informações sensiveis por GET.