Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes

Empresa desativou a ferramenta após contato do Tecnoblog. Fatura em PDF inclui nome completo, endereço e CPF do titular.

Thássius Veloso
Por
Funcionário de costas, veste a camisa da Enel e aponta para uma tela
Grupo Enel atende 14 milhões de clientes no Brasil inteiro (Imagem: Divulgação/Enel)
Resumo
  • Uma brecha no site da Enel permitia o download de faturas de outros clientes, bastando alterar o número de identificação na URL e o uso de um programa de computador que destravasse PDFs protegidos.
  • A brecha expunha dados sensíveis dos clientes, como nome completo, endereço, CPF e informações fiscais, embora não haja evidências de uso para fins maliciosos.
  • A Enel mudou o método de envio das faturas digitais em janeiro, passando a requerer que os clientes acessassem um link enviado por email para baixar suas cobranças.
  • A empresa desativou essa funcionalidade após ser contatada pelo Tecnoblog, na tentativa de proteger os dados de seus clientes.

O site oficial da Enel possuía uma brecha que permitia a qualquer pessoa fazer o download das faturas de outros clientes. Para tanto, bastava saber um endereço específico e complementar a URL com um número de identificação. A concessionária de energia de São Paulo e outras cidades desativou a funcionalidade após o contato feito pelo Tecnoblog, na última terça-feira (dia 06/03).

A Enel modificou a forma de enviar as faturas digitais em janeiro deste ano. Antes disso, a empresa enviava o documento em anexo. De lá para cá, tornou-se necessário receber um email e abrir um link, a partir do qual dava para baixar a cobrança.

Print do gerenciador de arquivos do computador com quatro documentos em PDF
Conseguimos fazer o download de várias faturas em PDF (Imagem: Reprodução/Tecnoblog)

Um especialista em tecnologia – esta pessoa pediu para não ser identificada – nos revelou o método que possibilitava baixar as faturas de outros consumidores. O arquivo em PDF é protegido por senha, mas passível de desbloqueio com o uso de um simples programa de computador.

Feito este processo, era possível visualizar nome completo, endereço, CPF e demais dados cadastrais do titular do serviço – inclusive informações fiscais. É importante frisar que nós não temos evidências de que a brecha tenha sido usada para ataque cibernético ou raspagem de dados.

Print do site da Enel exibindo "Error 16"
Enel desativa download de fatura (Imagem: Reprodução/Tecnoblog)

Enquanto isso, a empresa desativou a ferramenta de download de boleto e não é mais possível explorar a brecha. A página exibe o aviso de “acesso negado” e informa o erro 16.

Os nossos testes foram feitos a partir da página da Enel para consumidores de São Paulo. Ele parece ser o mesmo adotado pela empresa em outras regiões, como Rio de Janeiro e Ceará. No país inteiro, a Enel atende 14 milhões de clientes.

Saiba a resposta da Enel

A Enel São Paulo declarou em nota ao Tecnoblog que “o processo de envio de faturas digitais é realizado mediante escolha prévia dos próprios clientes e respectiva verificação da sua identidade, seguindo normas estabelecidas pela Agência Nacional de Energia Elétrica (Aneel) e critérios de segurança usualmente praticados pelo mercado”.

Esta informação não procede. Os clientes foram comunicados em janeiro de que ocorreria a migração, conforme você pode ver no print abaixo. A mensagem não dá margem para escolha prévia.

Print do email, no qual se lê: "Olá. A forma de você receber a sua conta por e-mail irá mudar em breve. Fique ligado! A conta não virá mais em um anexo. Agora, ela estará no corpo do e-mail e com link para você baixar a versão completa. Lembre-se de que sua conta possui uma chave de segurança e para abrir você deve digitar os 5 primeiros números do CPF ou CNPJ do titular."
Email enviado pela Enel São Paulo em 16 de janeiro informa sobre a nova forma de ver a conta de energia (Imagem: Reprodução/Tecnoblog)

A distribuidora também nos disse que ”atualmente os clientes recebem sua fatura digital apenas como anexo ao e-mail e seu acesso somente ocorre mediante autenticação com códigos identificadores”.

Esta informação também não procede. O print abaixo demonstra a cobrança por email. Ela informa o valor, o código para pagamento via código de barras e contém o link para o endereço que foi retirado do ar. Não há nenhum anexo.

Print do email, no qual se lê "Para abrir a sua conta, clique aqui e digite os 5 primeiros números do CPF/CNPJ do titular"
Conta por email da Enel São Paulo: caixa rosa tem link para download da fatura completa (Imagem: Reprodução/Tecnoblog)

Por fim, a Enel São Paulo reforçou que “trabalha de forma ativa na busca pela melhoria contínua dos seus processos, de modo a assegurar a privacidade e proteção de dados dos seus clientes”.

A empresa não comentou o motivo de retirar do ar a ferramenta de download da fatura completa.

Relacionados

Escrito por

Thássius Veloso

Thássius Veloso

Editor

Thássius Veloso é jornalista especializado em tecnologia e editor do Tecnoblog. Desde 2008, participa das principais feiras de eletrônicos, TI e inovação. Também atua como comentarista da CBN, palestrante e apresentador. Já colaborou com diversos veículos, entre eles TV Globo, GloboNews e O Globo. Ganhou o Prêmio Especialistas em duas ocasiões e foi indicado diversas vezes ao Prêmio Comunique-se.

Temas populares