Menu
A Enel, concessionária que distribui energia elétrica em 24 cidades de São Paulo, permitiu que clientes pudessem acessar a fatura de outros consumidores da empresa. Para isso, bastava saber um endereço específico e complementar a URL com um número de identificação. A concessionária de energia elétrica de São Paulo e outras cidades desativou a funcionalidade após o contato feito pelo Tecnoblog, na última terça-feira (dia 06/03).
A Enel alterou o método de envio das faturas digitais em janeiro, substituindo o envio do documento em anexo por um link no e-mail, onde era possível baixar a cobrança. De acordo com a matéria do Tecnoblog, um especialista em tecnologia, que preferiu não ser identificado, revelou que o arquivo em PDF era protegido por senha, mas passível de desbloqueio com um programa simples.
Esse processo possibilitava o acesso a informações como nome completo, endereço, CPF e dados cadastrais do titular do serviço, incluindo informações fiscais. Não há evidências de que a brecha tenha sido explorada para ataques cibernéticos.
A Enel desativou a ferramenta de download de boletos, exibindo “acesso negado” na página. Os testes foram realizados na página da Enel para consumidores de São Paulo, mas acredita-se que o mesmo método era utilizado em outras regiões, onde a empresa atua.
Em resposta ao Tecnoblog, a Enel São Paulo afirmou que o envio de faturas digitais segue normas da Agência Nacional de Energia Elétrica (Aneel) e critérios de segurança do mercado, contradizendo a informação de escolha prévia pelos clientes.
