Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes

Funcionário de costas, veste a camisa da Enel e aponta para uma tela
Grupo Enel atende 14 milhões de clientes no Brasil inteiro (Imagem: Divulgação/Enel)
Resumo
  • Uma brecha no site da Enel permitia o download de faturas de outros clientes, bastando alterar o número de identificação na URL e o uso de um programa de computador que destravasse PDFs protegidos.
  • A brecha expunha dados sensíveis dos clientes, como nome completo, endereço, CPF e informações fiscais, embora não haja evidências de uso para fins maliciosos.
  • A Enel mudou o método de envio das faturas digitais em janeiro, passando a requerer que os clientes acessassem um link enviado por email para baixar suas cobranças.
  • A empresa desativou essa funcionalidade após ser contatada pelo Tecnoblog, na tentativa de proteger os dados de seus clientes.

O site oficial Enel possuía uma brecha que permitia a qualquer pessoa fazer o download das faturas de outros clientes. Para tanto, bastava saber um endereço específico e complementar a URL com um número de identificação. A concessionária de energia de São Paulo e outras cidades desativou a funcionalidade após o contato feito pelo Tecnoblog, na última terça-feira (dia 05/03).

A Enel modificou a forma de enviar as faturas digitais em janeiro deste ano. Antes disso, a empresa enviava o documento em anexo. De lá para cá, tornou-se necessário receber um email e abrir um link, a partir do qual dava para baixar a cobrança.

Print do gerenciador de arquivos do computador com quatro documentos em PDF
Conseguimos fazer o download de várias faturas em PDF (Imagem: Reprodução/Tecnoblog)

Um especialista em tecnologia – esta pessoa pediu para não ser identificada – nos revelou o método que possibilitava baixar as faturas de outros consumidores. O arquivo em PDF é protegido por senha, mas passível de desbloqueio com o uso de um simples programa de computador.

Feito este processo, era possível visualizar nome completo, endereço, CPF e demais dados cadastrais do titular do serviço – inclusive informações fiscais. É importante frisar que nós não temos evidências de que a brecha tenha sido usada para ataque cibernético ou raspagem de dados.

Print do site da Enel exibindo "Error 16"
Enel desativa download de fatura (Imagem: Reprodução/Tecnoblog)

A Enel prometeu responder ao Tecnoblog até meio-dia de hoje. Posteriormente, solicitou que o prazo fosse estendido para 14h desta sexta-feira (08/03). O texto será atualizado quando a resposta chegar.

Enquanto isso, a empresa desativou a ferramenta de download de boleto e não é mais possível explorar a brecha. A página exibe o aviso de “acesso negado” e informa o erro 16. Os nossos testes foram feitos a partir da página da Enel para consumidores de São Paulo. Ele parece ser o mesmo adotado pela empresa em outras regiões, como Rio de Janeiro e Ceará. No país inteiro, a Enel atende 14 milhões de clientes.

Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes

Adicionar aos favoritos o Link permanente.