Germano Lüders/EXAME
A brecha de segurança permitia até que alguém solicitasse o corte do fornecimento de energia de outra pessoa indevidamente
São Paulo — Uma falha de segurança no site da distribuidora de energia Eletropaulo deixou expostos os dados de 6,4 milhões de clientes da empresa, de acordo com o jornal Folha de S. Paulo. A falha permitiria que qualquer pessoa alterasse dados cadastrais de outros usuários e até solicitasse a interrupção do fornecimento de energia deles.
Segundo notícia do jornal, a brecha de segurança foi descoberta pelo estudante de sistemas de informação Carlos Eduardo Santiago. Ele avisou à Eletropaulo sobre o problema na última sexta-feira. A Folha diz, porém, que a empresa só tomou providências depois que o jornal entrou em contato com ela.
O acesso ao sistema da Eletropaulo é feito digitando-se o CPF ou CNPJ do usuário e o número da instalação. As duas informações vêm impressas na conta de energia. Não se exige nenhuma senha. Assim, basta ter uma dessas contas nas mãos para chegar aos dados do respectivo usuário.
A ausência de um controle mais rigoroso de acesso já seria questionável. Mas Santiago descobriu que a situação era pior, segundo a Folha: ele constatou que bastava fazer uma alteração trivial no endereço do site para ter acesso a dados de diferentes usuários. Questionada por EXAME.com, a Eletropaulo adminiu a existência do problema e disse que ele já foi corrigido. Este é o comunicado oficial da empresa:
"Ontem (5/9), a AES Eletropaulo interrompeu o acesso à sua Agência Virtual, das 17h às 22h. O motivo foi a denúncia de uma vulnerabilidade no site, pela qual era possível visualizar a fatura de outro cliente. A vulnerabilidade apontada não era acessível para qualquer usuário. Era necessário tem conhecimentos técnicos – montar sistematicamente uma combinação de códigos – e intenção de obter dados de terceiros."
"A concessionária esclarece, ainda, que a manobra não dava acesso ao sistema da AES Eletropaulo e, sim, a visualizar a segunda via de fatura. A equipe de segurança da informação da distribuidora já blindou essa interface e a Agência Virtual está funcionando normalmente, desde às 22 horas de ontem."
A empresa, oficialmente chamada AES Eletropaulo, é descrita em seu site como a maior distribuidora de energia elétrica da América Latina. Sua área de concessão abrange 24 municípios da região metropolitana de São Paulo, inclusive a capital.
(texto atualizado às 14:20 com a resposta da Eletropaulo)
Rumores Apple pode abandonar design do iOS concebido por Steve Jobs
TIC EducaçãoCresce presença de computadores portáteis na escola pública
ConsoleAnúncio do Xbox One, da Microsoft, aumenta vendas do Wii U
CompetiçãoRobôs se preparam para Copa do Mundo futurista
Orgulho 10 novos games sci-fi para jogar no Dia da Toalha
Inovação Vem aí o Fairphone, o smartphone politicamente correto
GamesFIFA 14 será lançado em setembro
EspaçoNASA prevê empreendimentos comerciais humanos na lua
ServiçosGoogle Drive ganha nova interface no Android
GovernoHackers do Irã atacam sites de empresas de energia dos EUA
Assine EXAME
>