Tecnologia

Falha da Eletropaulo expõe 6,4 mi usuários, diz jornal

Uma falha de segurança no site da Eletropaulo permitiu o acesso indevido a dados de 6,4 milhões de clientes da empresa, de acordo com a Folha de S. Paulo


	A brecha de segurança permitia até que alguém solicitasse o corte do fornecimento de energia de outra pessoa indevidamente
 (Germano Lüders/EXAME)

A brecha de segurança permitia até que alguém solicitasse o corte do fornecimento de energia de outra pessoa indevidamente (Germano Lüders/EXAME)

Maurício Grego

Maurício Grego

Publicado em 6 de setembro de 2012 às 14h26.

São Paulo — Uma falha de segurança no site da distribuidora de energia Eletropaulo deixou expostos os dados de 6,4 milhões de clientes da empresa, de acordo com o jornal Folha de S. Paulo. A falha permitiria que qualquer pessoa alterasse dados cadastrais de outros usuários e até solicitasse a interrupção do fornecimento de energia deles.

Segundo notícia do jornal,  a brecha de segurança foi descoberta pelo estudante de sistemas de informação Carlos Eduardo Santiago.  Ele avisou à Eletropaulo sobre o problema na última sexta-feira. A Folha diz, porém, que a empresa só tomou providências depois que o jornal entrou em contato com ela.

O acesso ao sistema da Eletropaulo é feito digitando-se o CPF ou CNPJ do usuário e o número da instalação. As duas informações vêm impressas na conta de energia. Não se exige nenhuma senha. Assim, basta ter uma dessas contas nas mãos para chegar aos dados do respectivo usuário.

A ausência de um controle mais rigoroso de acesso já seria questionável. Mas Santiago descobriu que a situação era pior, segundo a Folha: ele constatou que bastava fazer uma alteração trivial no endereço do site para ter acesso a dados de diferentes usuários. Questionada por EXAME.com, a Eletropaulo adminiu a existência do problema e disse que ele já foi corrigido. Este é o comunicado oficial da empresa:

"Ontem (5/9), a AES Eletropaulo interrompeu o acesso à sua Agência Virtual, das 17h às 22h. O motivo foi a denúncia de uma vulnerabilidade no site, pela qual era possível visualizar a fatura de outro cliente. A vulnerabilidade apontada não era acessível para qualquer usuário. Era necessário tem conhecimentos técnicos – montar sistematicamente uma combinação de códigos – e intenção de obter dados de terceiros."

"A concessionária esclarece, ainda, que a manobra não dava acesso ao sistema da AES Eletropaulo e, sim, a visualizar a segunda via de fatura. A equipe de segurança da informação da distribuidora já blindou essa interface e a Agência Virtual está funcionando normalmente, desde às 22 horas de ontem."

A empresa, oficialmente chamada AES Eletropaulo, é descrita em seu site como a maior distribuidora de energia elétrica da América Latina. Sua área de concessão abrange 24 municípios da região metropolitana de São Paulo, inclusive a capital.

(texto atualizado às 14:20 com a resposta da Eletropaulo)

Acompanhe tudo sobre:#failAESEletropauloEmpresasEmpresas americanasEnergia elétricaInternetPrivacidadeseguranca-digitalServiçosSites

Mais de Tecnologia

O futuro dos jogos: Geração Z domina esportes eletrônicos com smartphones e prêmios milionários

Como a greve da Amazon nos EUA pode atrasar entregas de Natal

Como o Google Maps ajudou a solucionar um crime

China avança em logística com o AR-500, helicóptero não tripulado