Resumo
- Uma brecha no site da Enel permitia o download de faturas de outros clientes, bastando alterar o número de identificação na URL e o uso de um programa de computador que destravasse PDFs protegidos.
- A brecha expunha dados sensíveis dos clientes, como nome completo, endereço, CPF e informações fiscais, embora não haja evidências de uso para fins maliciosos.
- A Enel mudou o método de envio das faturas digitais em janeiro, passando a requerer que os clientes acessassem um link enviado por email para baixar suas cobranças.
- A empresa desativou essa funcionalidade após ser contatada pelo Tecnoblog, na tentativa de proteger os dados de seus clientes.
O site oficial Enel possuía uma brecha que permitia a qualquer pessoa fazer o download das faturas de outros clientes. Para tanto, bastava saber um endereço específico e complementar a URL com um número de identificação. A concessionária de energia de São Paulo e outras cidades desativou a funcionalidade após o contato feito pelo Tecnoblog, na última terça-feira (dia 06/03).
A Enel modificou a forma de enviar as faturas digitais em janeiro deste ano. Antes disso, a empresa enviava o documento em anexo. De lá para cá, tornou-se necessário receber um email e abrir um link, a partir do qual dava para baixar a cobrança.
Um especialista em tecnologia – esta pessoa pediu para não ser identificada – nos revelou o método que possibilitava baixar as faturas de outros consumidores. O arquivo em PDF é protegido por senha, mas passível de desbloqueio com o uso de um simples programa de computador.
Feito este processo, era possível visualizar nome completo, endereço, CPF e demais dados cadastrais do titular do serviço – inclusive informações fiscais. É importante frisar que nós não temos evidências de que a brecha tenha sido usada para ataque cibernético ou raspagem de dados.
A Enel prometeu responder ao Tecnoblog até o meio-dia de hoje. Posteriormente, solicitou que o prazo fosse estendido para 14h. O texto será atualizado quando a resposta chegar.
Enquanto isso, a empresa desativou a ferramenta de download de boleto e não é mais possível explorar a brecha. A página exibe o aviso de “acesso negado” e informa o erro 16.
Os nossos testes foram feitos a partir da página da Enel para consumidores de São Paulo. Ele parece ser o mesmo adotado pela empresa em outras regiões, como Rio de Janeiro e Ceará. No país inteiro, a Enel atende 14 milhões de clientes.
Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes