Exame Logo

Falha da Eletropaulo expõe 6,4 mi usuários, diz jornal

Uma falha de segurança no site da Eletropaulo permitiu o acesso indevido a dados de 6,4 milhões de clientes da empresa, de acordo com a Folha de S. Paulo

A brecha de segurança permitia até que alguém solicitasse o corte do fornecimento de energia de outra pessoa indevidamente (Germano Lüders/EXAME)

Maurício Grego

Publicado em 6 de setembro de 2012 às 14h26.

São Paulo — Uma falha de segurança no site da distribuidora de energia Eletropaulo deixou expostos os dados de 6,4 milhões de clientes da empresa, de acordo com o jornal Folha de S. Paulo. A falha permitiria que qualquer pessoa alterasse dados cadastrais de outros usuários e até solicitasse a interrupção do fornecimento de energia deles.

Segundo notícia do jornal,  a brecha de segurança foi descoberta pelo estudante de sistemas de informação Carlos Eduardo Santiago.  Ele avisou à Eletropaulo sobre o problema na última sexta-feira. A Folha diz, porém, que a empresa só tomou providências depois que o jornal entrou em contato com ela.

Veja também

O acesso ao sistema da Eletropaulo é feito digitando-se o CPF ou CNPJ do usuário e o número da instalação. As duas informações vêm impressas na conta de energia. Não se exige nenhuma senha. Assim, basta ter uma dessas contas nas mãos para chegar aos dados do respectivo usuário.

A ausência de um controle mais rigoroso de acesso já seria questionável. Mas Santiago descobriu que a situação era pior, segundo a Folha: ele constatou que bastava fazer uma alteração trivial no endereço do site para ter acesso a dados de diferentes usuários. Questionada por EXAME.com, a Eletropaulo adminiu a existência do problema e disse que ele já foi corrigido. Este é o comunicado oficial da empresa:

"Ontem (5/9), a AES Eletropaulo interrompeu o acesso à sua Agência Virtual, das 17h às 22h. O motivo foi a denúncia de uma vulnerabilidade no site, pela qual era possível visualizar a fatura de outro cliente. A vulnerabilidade apontada não era acessível para qualquer usuário. Era necessário tem conhecimentos técnicos – montar sistematicamente uma combinação de códigos – e intenção de obter dados de terceiros."

"A concessionária esclarece, ainda, que a manobra não dava acesso ao sistema da AES Eletropaulo e, sim, a visualizar a segunda via de fatura. A equipe de segurança da informação da distribuidora já blindou essa interface e a Agência Virtual está funcionando normalmente, desde às 22 horas de ontem."

A empresa, oficialmente chamada AES Eletropaulo, é descrita em seu site como a maior distribuidora de energia elétrica da América Latina. Sua área de concessão abrange 24 municípios da região metropolitana de São Paulo, inclusive a capital.

(texto atualizado às 14:20 com a resposta da Eletropaulo)

Acompanhe tudo sobre:#failAESEletropauloEmpresasEmpresas americanasEnergia elétricaInternetPrivacidadeseguranca-digitalServiçosSites
Próximo

Mais lidas

01

CrowdStrike dá vale-presente de US$ 10 a funcionários que resolveram apagão cibernético

02

CEO da CrowdStrike é convidado a depor no Senado dos EUA sobre falha que afetou PCs Windows

03

Não seguidores no Instagram: como ver quem não me segue de volta
exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Tecnologia

Samsung Galaxy A05s vale a pena? Veja preço, detalhes e ficha técnicaXiaomi Poco F6 Pro vale a pena? Veja detalhes e ficha técnicaXiaomi Poco F6 vale a pena? Veja detalhes e ficha técnicaXiaomi 13 Lite vale a pena? Veja preço, detalhes e ficha técnica

Mais na Exame

MundoExército de Israel ordena novas evacuações no sul de Israel
Future of MoneyInvestimentos: quanto de criptomoedas devo ter no meu portfólio?
EsporteNathalie Moellhausen, da esgrima, passa mal por causa de tumor e dá adeus às Olimpiadas
InvestMega Millions: ninguém acerta os 6 números e prêmio acumula para R$ 1,8 bilhão