Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes
Empresa desativou a ferramenta após contato do Tecnoblog. Fatura em PDF inclui nome completo, endereço e CPF do titular.
Empresa desativou a ferramenta após contato do Tecnoblog. Fatura em PDF inclui nome completo, endereço e CPF do titular.
O site oficial da Enel possuía uma brecha que permitia a qualquer pessoa fazer o download das faturas de outros clientes. Para tanto, bastava saber um endereço específico e complementar a URL com um número de identificação. A concessionária de energia de São Paulo e outras cidades desativou a funcionalidade após o contato feito pelo Tecnoblog, na última terça-feira (dia 06/03).
A Enel modificou a forma de enviar as faturas digitais em janeiro deste ano. Antes disso, a empresa enviava o documento em anexo. De lá para cá, tornou-se necessário receber um email e abrir um link, a partir do qual dava para baixar a cobrança.
Um especialista em tecnologia – esta pessoa pediu para não ser identificada – nos revelou o método que possibilitava baixar as faturas de outros consumidores. O arquivo em PDF é protegido por senha, mas passível de desbloqueio com o uso de um simples programa de computador.
Feito este processo, era possível visualizar nome completo, endereço, CPF e demais dados cadastrais do titular do serviço – inclusive informações fiscais. É importante frisar que nós não temos evidências de que a brecha tenha sido usada para ataque cibernético ou raspagem de dados.
Enquanto isso, a empresa desativou a ferramenta de download de boleto e não é mais possível explorar a brecha. A página exibe o aviso de “acesso negado” e informa o erro 16.
Os nossos testes foram feitos a partir da página da Enel para consumidores de São Paulo. Ele parece ser o mesmo adotado pela empresa em outras regiões, como Rio de Janeiro e Ceará. No país inteiro, a Enel atende 14 milhões de clientes.
A Enel São Paulo declarou em nota ao Tecnoblog que “o processo de envio de faturas digitais é realizado mediante escolha prévia dos próprios clientes e respectiva verificação da sua identidade, seguindo normas estabelecidas pela Agência Nacional de Energia Elétrica (Aneel) e critérios de segurança usualmente praticados pelo mercado”.
Esta informação não procede. Os clientes foram comunicados em janeiro de que ocorreria a migração, conforme você pode ver no print abaixo. A mensagem não dá margem para escolha prévia.
A distribuidora também nos disse que ”atualmente os clientes recebem sua fatura digital apenas como anexo ao e-mail e seu acesso somente ocorre mediante autenticação com códigos identificadores”.
Esta informação também não procede. O print abaixo demonstra a cobrança por email. Ela informa o valor, o código para pagamento via código de barras e contém o link para o endereço que foi retirado do ar. Não há nenhum anexo.
Por fim, a Enel São Paulo reforçou que “trabalha de forma ativa na busca pela melhoria contínua dos seus processos, de modo a assegurar a privacidade e proteção de dados dos seus clientes”.
A empresa não comentou o motivo de retirar do ar a ferramenta de download da fatura completa.
{{ excerpt | truncatewords: 55 }}
{% endif %}