{"id":911,"date":"2024-03-08T12:41:07","date_gmt":"2024-03-08T15:41:07","guid":{"rendered":"https:\/\/agencia7.jornalfloripa.com.br\/agencia7\/911"},"modified":"2024-03-08T12:41:07","modified_gmt":"2024-03-08T15:41:07","slug":"exclusivo-brecha-no-site-da-enel-permitia-baixar-faturas-de-outros-clientes","status":"publish","type":"post","link":"https:\/\/agencia7.jornalfloripa.com.br\/agencia7\/911","title":{"rendered":"Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes"},"content":{"rendered":"
\nGrupo Enel atende 14 milh\u00f5es de clientes no Brasil inteiro (Imagem: Divulga\u00e7\u00e3o\/Enel)<\/figcaption><\/figure>\n\nResumo<\/summary>\n
\n
\n
Uma brecha no site da Enel permitia o download de faturas de outros clientes, bastando alterar o n\u00famero de identifica\u00e7\u00e3o na URL e o uso de um programa de computador que destravasse PDFs protegidos.<\/li>\n
A brecha expunha dados sens\u00edveis dos clientes, como nome completo, endere\u00e7o, CPF e informa\u00e7\u00f5es fiscais, embora n\u00e3o haja evid\u00eancias de uso para fins maliciosos.<\/li>\n
A Enel mudou o m\u00e9todo de envio das faturas digitais em janeiro, passando a requerer que os clientes acessassem um link enviado por email para baixar suas cobran\u00e7as.<\/li>\n
A empresa desativou essa funcionalidade ap\u00f3s ser contatada pelo Tecnoblog, na tentativa de proteger os dados de seus clientes.<\/li>\n<\/ul>\n<\/div>\n<\/details>\n
O site oficial Enel possu\u00eda uma brecha que permitia a qualquer pessoa fazer o download das faturas de outros clientes. Para tanto, bastava saber um endere\u00e7o espec\u00edfico e complementar a URL com um n\u00famero de identifica\u00e7\u00e3o. A concession\u00e1ria de energia de S\u00e3o Paulo e outras cidades desativou a funcionalidade ap\u00f3s o contato feito pelo Tecnoblog<\/strong>, na \u00faltima ter\u00e7a-feira (dia 05\/03).<\/p>\n
A Enel modificou a forma de enviar as faturas digitais em janeiro deste ano. Antes disso, a empresa enviava o documento em anexo. De l\u00e1 para c\u00e1, tornou-se necess\u00e1rio receber um email e abrir um link, a partir do qual dava para baixar a cobran\u00e7a.<\/p>\nConseguimos fazer o download de v\u00e1rias faturas em PDF (Imagem: Reprodu\u00e7\u00e3o\/Tecnoblog)<\/figcaption><\/figure>\n
Um especialista em tecnologia \u2013 esta pessoa pediu para n\u00e3o ser identificada \u2013 nos revelou o m\u00e9todo que possibilitava baixar as faturas de outros consumidores. O arquivo em PDF \u00e9 protegido por senha, mas pass\u00edvel de desbloqueio com o uso de um simples programa de computador.<\/p>\n
Feito este processo, era poss\u00edvel visualizar nome completo, endere\u00e7o, CPF e demais dados cadastrais do titular do servi\u00e7o \u2013 inclusive informa\u00e7\u00f5es fiscais. \u00c9 importante frisar que n\u00f3s n\u00e3o temos evid\u00eancias<\/strong> de que a brecha tenha sido usada para ataque cibern\u00e9tico ou raspagem de dados.<\/p>\nEnel desativa download de fatura (Imagem: Reprodu\u00e7\u00e3o\/Tecnoblog)<\/figcaption><\/figure>\n
A Enel prometeu responder ao Tecnoblog<\/strong> at\u00e9 meio-dia de hoje. Posteriormente, solicitou que o prazo fosse estendido para 14h desta sexta-feira (08\/03). O texto ser\u00e1 atualizado quando a resposta chegar.<\/p>\n
Enquanto isso, a empresa desativou a ferramenta de download de boleto e n\u00e3o \u00e9 mais poss\u00edvel explorar a brecha. A p\u00e1gina exibe o aviso de \u201cacesso negado\u201d e informa o erro 16. Os nossos testes foram feitos a partir da p\u00e1gina da Enel para consumidores de S\u00e3o Paulo. Ele parece ser o mesmo adotado pela empresa em outras regi\u00f5es, como Rio de Janeiro e Cear\u00e1. No pa\u00eds inteiro, a Enel atende 14 milh\u00f5es de clientes.<\/p>\n
Exclusivo: Brecha no site da Enel permitia baixar faturas de outros clientes<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
![\"Funcion\u00e1rio](\"https:\/\/files.tecnoblog.net\/wp-content\/uploads\/2024\/03\/enel-div3-edited.jpg\")
![\"Print](\"https:\/\/files.tecnoblog.net\/wp-content\/uploads\/2024\/03\/enel-pasta-1060x651.png\")
![Print do site da Enel exibindo \"Error 16\"](\"https:\/\/files.tecnoblog.net\/wp-content\/uploads\/2024\/03\/enel-sistema-fatura-1060x853.png\")