Uma falha de segurança no site da AES Eletropaulo permitia, até a noite de ontem, que fossem acessados e alterados os dados cadastrais e de pagamento dos 6,4 milhões de clientes residenciais da companhia de energia elétrica da Grande São Paulo. A brecha foi encontrada na semana passada pelo estudante de sistemas de informação Carlos Eduardo Santiago, 20 -- ele relatou o caso ao serviço de atendimento ao consumidor da Eletropaulo na última sexta (31).
A Eletropaulo só começou a resolver o caso ontem, após ser questionada pela Folha. Na manhã desta quinta (6), a seção de serviços do site da Eletropaulo estava operacional e sem a falha. Posteriormente, o acesso ao site permaneceu interrompido entre as 10h e as 12h. Até às 18h30 de ontem, em cinco passos e usando só o CPF e o código de instalação informado na conta, qualquer cliente da Eletropaulo podia entrar no perfil de outro cliente e alterar as informações de contato (o telefone e o e-mail do titular) e da fatura (o endereço de entrega, a data de vencimento e a forma de pagamento). Era possível ainda ver as faturas dos últimos 13 meses, relatar uma pane elétrica e solicitar a interrupção do fornecimento de energia do cliente invadido.
O estudante Carlos Eduardo Santiago, 20, que descobriu a falha de segurança no site da AES Eletropaulo - (Foto: Yuri Gonzaga/Folhapress).
A falha ocorria devido a um link desprotegido no site da Eletropaulo (aeseletropaulo.com.br
). Uma alteração no link permitia a invasão de outras contas --para
evitar a brecha, esse endereço eletrônico deveria ter sido blindado,
impedindo alterações.
Para o estudante que encontrou a falha, a companhia foi negligente. "É
um erro primário, e eles [desenvolvedores do site] sabem que o erro
existe", diz Carlos Eduardo Santiago. "Sei como esses sites funcionam,
mas qualquer um poderia ter descoberto [a falha], até por engano.
A Eletropaulo presta um serviço público, e isso é o que me deixa mais indignado. Como vou saber se alguém viu meus dados?"
"Caso inédito"
Concessionária de energia elétrica da capital paulista e de mais 23
municípios da região metropolitana, a Eletropaulo diz que o caso é o
primeiro problema de segurança do site da companhia.
"Nós não sabíamos desse caso específico e, assim que tomamos
conhecimento, agimos rapidamente", diz Gustavo Pimenta, vice-presidente
de uma divisão de tecnologia da AES Brasil, que controla a Eletropaulo.
"É claro que não é uma situação desejável. É como se o cliente visse a
conta de luz do vizinho".
A assessoria de imprensa da companhia disse que um novo site deve ser
lançado por volta do mês de novembro. Na segunda (3), a companhia
anunciou o investimento de R$ 90 milhões em melhorias no atendimento
telefônico.
Sandro Suffert, diretor de tecnologia da empresa Apura Cibersegurança, diz que esse tipo de falha é recorrente.
"Esse problema é uma questão de consciência de quem desenvolve o site. É um erro crítico, mas comum".
O especialista em segurança digital diz que a falha abre espaço para
ataques cibernéticos, mas que poderia ser sanada facilmente.
"Isso seria evitado se houvesse controle mais rígido na autenticação do
site, por meio dos chamados 'cookies', por exemplo. Seria preciso mais
cuidado na criação do serviço, algo que, por tomar mais tempo, custaria
mais".
Segundo Suffert, para que a brecha tivesse sido evitada, seria preciso investimento extra de "no máximo" R$ 10 mil.
Nenhum comentário:
Postar um comentário