A brecha de segurança permitia até que alguém solicitasse o corte do fornecimento de energia de outra pessoa indevidamente (Germano Lüders/EXAME)
Maurício Grego
Publicado em 6 de setembro de 2012 às 14h26.
São Paulo — Uma falha de segurança no site da distribuidora de energia Eletropaulo deixou expostos os dados de 6,4 milhões de clientes da empresa, de acordo com o jornal Folha de S. Paulo. A falha permitiria que qualquer pessoa alterasse dados cadastrais de outros usuários e até solicitasse a interrupção do fornecimento de energia deles.
Segundo notícia do jornal, a brecha de segurança foi descoberta pelo estudante de sistemas de informação Carlos Eduardo Santiago. Ele avisou à Eletropaulo sobre o problema na última sexta-feira. A Folha diz, porém, que a empresa só tomou providências depois que o jornal entrou em contato com ela.
O acesso ao sistema da Eletropaulo é feito digitando-se o CPF ou CNPJ do usuário e o número da instalação. As duas informações vêm impressas na conta de energia. Não se exige nenhuma senha. Assim, basta ter uma dessas contas nas mãos para chegar aos dados do respectivo usuário.
A ausência de um controle mais rigoroso de acesso já seria questionável. Mas Santiago descobriu que a situação era pior, segundo a Folha: ele constatou que bastava fazer uma alteração trivial no endereço do site para ter acesso a dados de diferentes usuários. Questionada por EXAME.com, a Eletropaulo adminiu a existência do problema e disse que ele já foi corrigido. Este é o comunicado oficial da empresa:
"Ontem (5/9), a AES Eletropaulo interrompeu o acesso à sua Agência Virtual, das 17h às 22h. O motivo foi a denúncia de uma vulnerabilidade no site, pela qual era possível visualizar a fatura de outro cliente. A vulnerabilidade apontada não era acessível para qualquer usuário. Era necessário tem conhecimentos técnicos – montar sistematicamente uma combinação de códigos – e intenção de obter dados de terceiros."
"A concessionária esclarece, ainda, que a manobra não dava acesso ao sistema da AES Eletropaulo e, sim, a visualizar a segunda via de fatura. A equipe de segurança da informação da distribuidora já blindou essa interface e a Agência Virtual está funcionando normalmente, desde às 22 horas de ontem."
A empresa, oficialmente chamada AES Eletropaulo, é descrita em seu site como a maior distribuidora de energia elétrica da América Latina. Sua área de concessão abrange 24 municípios da região metropolitana de São Paulo, inclusive a capital.
(texto atualizado às 14:20 com a resposta da Eletropaulo)