TV 247 logo
      Buscar
      HOME > Geral

      Brecha em site da Enel permitiu acesso a faturas e CPFs de clientes

      Vulnerabilidade levou a empresa a desativar a funcionalidade no dia 6

      Brecha em site da Enel permitiu acesso a faturas e CPFs de clientes (Foto: Reuters/Flavio Lo Scalzo)

      247 - Uma falha de segurança no site oficial da Enel permitiu que estranhos baixassem faturas de clientes, expondo informações sensíveis, como CPF, endereço e valores da dívida. De acordo com o Tecnoblog, a brecha foi descoberta no formulário de acesso à fatura, que solicitava apenas o endereço da instalação de energia elétrica e um número de identificação. A possibilidade de download estava disponível desde meados de janeiro. 

      Vote no Brasil 247 como melhor canal de notícias e jornalismo e melhor canal de política do Brasil no iBest 2025

      A notificação da vulnerabilidade levou a empresa a desativar a funcionalidade  no dia 6. Enel alega, em versão divergente, que retomou o envio do documento anexo no dia 4, mas agora com a necessidade de um código autenticador para acesso ao PDF que era recebido por e-mail, a partir do qual era possível baixar a cobrança.

      De acordo com a reportagem, o método que possibilitava baixar as faturas de outros consumidores era simples. “O arquivo em PDF é protegido por senha, mas passível de desbloqueio com o uso de um simples programa de computador. Feito este processo, era possível visualizar nome completo, endereço, CPF e demais dados cadastrais do titular do serviço – inclusive informações fiscais”. 

      Apesar da brecha de segurança, a reportagem ressalta que não há evidências de ataques cibernéticos decorrentes dessas informações, mas especialistas alertam que a Enel pode ser responsabilizada administrativamente por violação à LGPD (Lei Geral de Proteção de Dados), além de ações civis movidas por clientes afetados.

      A brecha identificada permitia a automatização do download massivo de faturas, facilitando práticas como a raspagem de dados. Essa técnica, associada à exposição de informações sensíveis, abre caminho para golpes de roubo de identidade e phishing. 

      Com isso, a Enel orienta seus clientes a desconfiarem de ofertas, verificarem a autenticidade dos links e, se necessário, entrarem em contato para confirmar a veracidade das promoções. A empresa reforça que envia faturas digitais apenas mediante escolha prévia dos clientes e verificação de identidade.

      O Tecnoblog realizou testes de vulnerabilidade apenas em São Paulo, onde a Enel atende a 24 municípios na região metropolitana, 66 no Rio de Janeiro e nos estados do Ceará e Goiás.