O site oficial da Enel permitia que estranhos baixassem a fatura de clientes. O documento tem informações sensíveis, como CPF, endereço e valores de dívida.
A empresa pedia apenas um endereço específico e que se completasse a URL com um número de identificação.
O formulário de acesso à fatura pedia apenas o endereço e um número de identificação, de acordo com o Tecnoblog, que revelou a brecha de segurança. A possibilidade de download pelo link estava disponível desde meados de janeiro, indicam emails enviados aos clientes da Enel pela empresa.
O portal para baixar as faturas foi tirado do ar no dia 6, após contato da reportagem do Tecnoblog.
Procurada pela Folha, a Enel, em versão divergente, diz que retomou o envio do documento anexo no dia 4. O acesso ao PDF ainda requer um código autenticador.
Quando a reportagem checou o link enviado junto a uma fatura da empresa, a página em que era possível baixar a fatura exibia a mensagem “acesso negado”. O navegador informa que o acesso foi bloqueado.
A Enel diz que “segue critérios de segurança usualmente praticados pelo mercado”.
O documento baixado continha senha, mas programas licenciados são capazes de remover a segurança de um PDF.
Após baixar o arquivo, qualquer pessoa podia retirar a senha e acessar informações como nome completo, endereço, CPF e outros dados cadastrais.
Não há evidências de que essas informações tenham inspirado ataques cibernéticos ou raspagem massiva de dados, segundo o Tecnoblog.
De acordo com o professor de direito digital da USP Juliano Maranhão, a Enel pode ser responsabilizada administrativamente por violação à LGPD (Lei Geral de Proteção de Dados), após instauração de processo com direito ao contraditório.
“A ANPD [Agência Nacional de Proteção de Dados] tem poderes para investigar o incidente de vazamento e aplicar sanções.”
Também pode haver responsabilização civil, em ações movidas pelos clientes afetados.
Se a vítima provar que teve prejuízo em decorrência de vazamento de dados ou de brecha de segurança, a empresa responsável pelo tratamento dos dados fica sujeita a indenizar o cliente, segundo entendimento do STJ (Superior Tribunal de Justiça) sobre a aplicação da LGPD.
A brecha permitia que criminosos automatizassem o download de um número massivo de faturas, a partir de uma técnica chamada de raspagem de dados, que permite baixar diferentes informações de um site com auxílio de computação.
As informações sensíveis tornavam possíveis golpes de roubo de identidade e phishing, em que os criminosos usam uma mensagem falsa como isca para roubar dinheiro e mais dados.
Para evitar esses golpes, o internauta deve desconfiar de ofertas, checar se o link confere com o da empresa ou pessoa citada e, em última instância, contatar quem oferece a promoção para averiguar a sua existência.
A Enel afirma que envia faturas digitais apenas mediante escolha prévia dos próprios clientes e respectiva verificação da sua identidade.
Até janeiro, a Enel enviava as faturas digitais anexas a um email. Desde então, a empresa passou a oferecer a alternativa de receber um link para download da conta. Os usuários foram avisados das mudanças na segunda quinzena de janeiro.
Ainda assim, parte dos clientes consultados pela Folha afirmou que continuou a receber a conta via arquivo PDF. A alternativa proposta pela Enel era uma versão resumida da conta, com informações de valores e código do boleto, para o pagamento, sem precisar acessar o documento.
A Enel prioriza o envio da fatura digital desde abril de 2020, segundo comunicado enviado em decorrência da pandemia de Covid. Nessa modalidade, há economia de papel e menor chance de extravio, de acordo com a empresa.
O Tecnoblog testou a vulnerabilidade apenas em São Paulo. A Enel atende a 24 municípios da região metropolitana de São Paulo, 66, no Rio de Janeiro e os estados do Ceará e Goiás.