Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes

Empresa desativou a ferramenta após contato do Tecnoblog. Fatura em PDF inclui nome completo, endereço e CPF do titular.

Thássius Veloso
Por
Funcionário de costas, veste a camisa da Enel e aponta para uma tela
Grupo Enel atende 14 milhões de clientes no Brasil inteiro (Imagem: Divulgação/Enel)
Resumo
  • Uma brecha no site da Enel permitia o download de faturas de outros clientes, bastando alterar o número de identificação na URL e o uso de um programa de computador que destravasse PDFs protegidos.
  • A brecha expunha dados sensíveis dos clientes, como nome completo, endereço, CPF e informações fiscais, embora não haja evidências de uso para fins maliciosos.
  • A Enel mudou o método de envio das faturas digitais em janeiro, passando a requerer que os clientes acessassem um link enviado por email para baixar suas cobranças.
  • A empresa desativou essa funcionalidade após ser contatada pelo Tecnoblog, na tentativa de proteger os dados de seus clientes.

O site oficial da Enel possuía uma brecha que permitia a qualquer pessoa fazer o download das faturas de outros clientes. Para tanto, bastava saber um endereço específico e complementar a URL com um número de identificação. A concessionária de energia de São Paulo e outras cidades desativou a funcionalidade após o contato feito pelo Tecnoblog, na última terça-feira (dia 06/03).

A Enel modificou a forma de enviar as faturas digitais em janeiro deste ano. Antes disso, a empresa enviava o documento em anexo. De lá para cá, tornou-se necessário receber um email e abrir um link, a partir do qual dava para baixar a cobrança.

Print do gerenciador de arquivos do computador com quatro documentos em PDF
Conseguimos fazer o download de várias faturas em PDF (Imagem: Reprodução/Tecnoblog)

Um especialista em tecnologia – esta pessoa pediu para não ser identificada – nos revelou o método que possibilitava baixar as faturas de outros consumidores. O arquivo em PDF é protegido por senha, mas passível de desbloqueio com o uso de um simples programa de computador.

Feito este processo, era possível visualizar nome completo, endereço, CPF e demais dados cadastrais do titular do serviço – inclusive informações fiscais. É importante frisar que nós não temos evidências de que a brecha tenha sido usada para ataque cibernético ou raspagem de dados.

Print do site da Enel exibindo "Error 16"
Enel desativa download de fatura (Imagem: Reprodução/Tecnoblog)

Enquanto isso, a empresa desativou a ferramenta de download de boleto e não é mais possível explorar a brecha. A página exibe o aviso de “acesso negado” e informa o erro 16.

Os nossos testes foram feitos a partir da página da Enel para consumidores de São Paulo. Ele parece ser o mesmo adotado pela empresa em outras regiões, como Rio de Janeiro e Ceará. No país inteiro, a Enel atende 14 milhões de clientes.

Saiba a resposta da Enel

A Enel São Paulo declarou em nota ao Tecnoblog que “o processo de envio de faturas digitais é realizado mediante escolha prévia dos próprios clientes e respectiva verificação da sua identidade, seguindo normas estabelecidas pela Agência Nacional de Energia Elétrica (Aneel) e critérios de segurança usualmente praticados pelo mercado”.

Esta informação não procede. Os clientes foram comunicados em janeiro de que ocorreria a migração, conforme você pode ver no print abaixo. A mensagem não dá margem para escolha prévia.

Print do email, no qual se lê: "Olá. A forma de você receber a sua conta por e-mail irá mudar em breve. Fique ligado! A conta não virá mais em um anexo. Agora, ela estará no corpo do e-mail e com link para você baixar a versão completa. Lembre-se de que sua conta possui uma chave de segurança e para abrir você deve digitar os 5 primeiros números do CPF ou CNPJ do titular."
Email enviado pela Enel São Paulo em 16 de janeiro informa sobre a nova forma de ver a conta de energia (Imagem: Reprodução/Tecnoblog)

A distribuidora também nos disse que ”atualmente os clientes recebem sua fatura digital apenas como anexo ao e-mail e seu acesso somente ocorre mediante autenticação com códigos identificadores”.

Esta informação também não procede. O print abaixo demonstra a cobrança por email. Ela informa o valor, o código para pagamento via código de barras e contém o link para o endereço que foi retirado do ar. Não há nenhum anexo.

Print do email, no qual se lê "Para abrir a sua conta, clique aqui e digite os 5 primeiros números do CPF/CNPJ do titular"
Conta por email da Enel São Paulo: caixa rosa tem link para download da fatura completa (Imagem: Reprodução/Tecnoblog)

Por fim, a Enel São Paulo reforçou que “trabalha de forma ativa na busca pela melhoria contínua dos seus processos, de modo a assegurar a privacidade e proteção de dados dos seus clientes”.

A empresa não comentou o motivo de retirar do ar a ferramenta de download da fatura completa.

Receba mais sobre Enel na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia e editor do Tecnoblog. Desde 2008, participa das principais feiras de eletrônicos, TI e inovação. Também atua como comentarista da GloboNews, palestrante, mediador e apresentador de eventos. Tem passagem pela CBN e pelo TechTudo. Já apareceu no Jornal Nacional, da TV Globo, e publicou artigos na Galileu e no jornal O Globo. Ganhou o Prêmio Especialistas em duas ocasiões e foi indicado diversas vezes ao Prêmio Comunique-se.

Relacionados

Enel usa rede via energia elétrica para medir consumo de 150 mil imóveis em SP
Enel usa rede via energia elétrica para medir consumo de 150 mil imóveis em SP
Enel SP vaza CPF, telefone e mais dados pessoais de 300 mil clientes
Enel SP vaza CPF, telefone e mais dados pessoais de 300 mil clientes
Exclusivo: falha no Meu Vivo permite acessar CPF e telefone de outros clientes
Exclusivo: falha no Meu Vivo permite acessar CPF e telefone de outros clientes
Como baixar uma nota fiscal com Chave de Acesso
Como baixar uma nota fiscal com Chave de Acesso
E-mail falso da Claro tenta roubar R$ 489,90 através de boleto
E-mail falso da Claro tenta roubar R$ 489,90 através de boleto
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
Falha de segurança afeta Chrome, Firefox, Edge e mais apps
Exclusivo: Veek prepara plano de celular grátis na rede da Vivo
Exclusivo: Veek prepara plano de celular grátis na rede da Vivo
Falha nos servidores da Uber permite enviar e-mails falsos com @uber.com
Falha nos servidores da Uber permite enviar e-mails falsos com @uber.com
Dá para espiar seu iPhone usando só as notificações
Dá para espiar seu iPhone usando só as notificações
Exclusivo: Novo Claro Flex decreta fim das redes sociais ilimitadas
Exclusivo: Novo Claro Flex decreta fim das redes sociais ilimitadas