Falha no site da Eletropaulo expõe dados de 6,4 milhões

Uma falha de segurança no site da AES Eletropaulo permitia, até a noite de ontem, que fossem acessados e alterados os dados cadastrais e de pagamento dos 6,4 milhões de clientes residenciais da companhia de energia elétrica da Grande São Paulo.

A brecha foi encontrada na semana passada pelo estudante de sistemas de informação Carlos Eduardo Santiago, 20 -ele relatou o caso ao serviço de atendimento ao consumidor da Eletropaulo na última sexta (31).

A Eletropaulo só começou a resolver o caso ontem, após ser questionada pela Folha. A empresa disse que o problema seria totalmente corrigido até a manhã de hoje.

Até as 18h30 de ontem, em cinco passos e usando só o CPF e o código de instalação informado na conta, qualquer cliente da Eletropaulo podia entrar no perfil de outro cliente e alterar as informações de contato (o telefone e o e-mail do titular) e da fatura (o endereço de entrega, a data de vencimento e a forma de pagamento).

Era possível ainda ver as faturas dos últimos 13 meses, relatar uma pane elétrica e solicitar a interrupção do fornecimento de energia do cliente invadido.

A falha ocorria devido a um link desprotegido no site da Eletropaulo (aeseletropaulo.com.br). Uma alteração no link permitia a invasão de outras contas -para evitar a brecha, esse endereço eletrônico deveria ter sido blindado, impedindo alterações.

Para o estudante que encontrou a falha, a companhia foi negligente. "É um erro primário, e eles [desenvolvedores do site] sabem que o erro existe", diz Carlos Eduardo Santiago. "Sei como esses sites funcionam, mas qualquer um poderia ter descoberto [a falha], até por engano."

"CASO INÉDITO"

Concessionária de energia elétrica da capital paulista e de mais 23 municípios da região metropolitana, a Eletropaulo diz que o caso é o primeiro problema de segurança do site da companhia.

"Nós não sabíamos desse caso específico e, assim que tomamos conhecimento, agimos rapidamente", diz Gustavo Pimenta, vice-presidente de uma divisão de tecnologia da AES Brasil, que controla a Eletropaulo. "É claro que não é uma situação desejável. É como se o cliente visse a conta de luz do vizinho."

A assessoria de imprensa da companhia disse que um novo site deve ser lançado por volta do mês de novembro.

Sandro Suffert, diretor de tecnologia da empresa Apura Cibersegurança, diz que esse tipo de falha é recorrente.

"Esse problema é uma questão de consciência de quem desenvolve o site. É um erro crítico, mas comum."

O especialista em segurança digital diz que a falha abre espaço para ataques cibernéticos, mas que poderia ser sanada facilmente.

"Isso seria evitado se houvesse controle mais rígido na autenticação do site, por meio dos chamados 'cookies', por exemplo. Seria preciso mais cuidado na criação do serviço, algo que, por tomar mais tempo, custaria mais."

Segundo Suffert, para que a brecha tivesse sido evitada, seria preciso investimento extra de "no máximo" R$ 10 mil.