Falha da Enel expõe dados de milhões de clientes

Uma falha no sistema do site da Enel Distribuição São Paulo deixou expostos os dados pessoais e conta de energia de usuários de parte das 7,2 milhões de residências das 24 cidades em que a empresa atua na região metropolitana de São Paulo durante toda a semana passada. O problema só foi resolvido no sábado (1º).

A falha foi descoberta por acaso por um analistas de sistema na segunda-feira (27). Um colega de trabalho navegava pela seção de clientes do site da empresa quando clicou em um link facilmente disponível na página eletrônica. Esse link dava acesso a um campo de busca, pelo qual era possível acessar as informações de qualquer cliente pessoa física a partir do nome, CPF ou endereço do usuário.

“A gente conseguiu daqui achar os dados do [apresentador] Silvio Santos, do [governador] João Doria”, diz o analista, que prefere não se identificar. Ele enviou à Gazeta os documentos obtidos, como os dados de energia de Silvio Santos, mas o jornal preferiu não revelar as informações.

O analista explica que alguém mal intencionado poderia entrar no sistema de qualquer cliente e pedir, por exemplo, para cortar a energia elétrica da casa ou até mudar a titularidade. “Se quisesse, a gente poderia cancelar a conta da casa do Silvio Santos ou do Doria”, diz.

Segundo ele, era possível ainda obter com facilidade informações de clientes de prédios e ruas inteiros, e ter diversos dados pessoais de clientes, como número de telefone e endereço de e-mail.

O analista entrou em contato com o serviço de atendimento ao consumidor da Enel para alertar sobre o erro, mas os atendentes não souberam lidar com a solicitação. Só no sábado (1º), após conseguir conversar com funcionários de setores mais específicos da empresa, a falha foi resolvida. “O problema durou pelo menos uma semana”, diz o analista.

A princípio, a falha atingiu os clientes das 24 cidades em que a Enel atua na região metropolitana de São Paulo: Barueri, Cajamar, Carapicuíba, Cotia, Diadema, Embu, Embu Guaçu, Itapecerica da Serra, Itapevi, Jandira, Juquitiba, Mauá, Osasco, Pirapora do Bom Jesus, Ribeirão Pires, Rio Grande da Serra, Santana de Parnaíba, Santo André, São Bernardo do Campo, São Caetano do Sul, São Lourenço da Serra, São Paulo, Taboão da Serra e Vargem Grande Paulista.

Além da região metropolitana de São Paulo, onde atua desde 2018, a Enel também presta serviço aos estados do Rio de Janeiro, Ceará e Goiás.

EXPOSIÇÃO DE DADOS

Para Francisco Brito Cruz, diretor do InternetLab, um centro de pesquisa em direito e tecnologia, há diversos problemas na exposição de dados como o ocorrido neste episódio com a Enel. O principal é a possibilidade de inclusão de informações pessoais em bancos de dados sem a permissão do cliente.

“O real perigo não é só as pessoas saberem onde você mora, mas agentes mal intencionados coletarem seus dados, e esses dados começarem a fazer parte de bancos de dados por aí. Dados são informações sobre você. E informações sobre você são tudo o que precisam para te manipular”, explica o especialista.

O diretor da InternetLab diz também que, caso caia em mãos erradas, as informações que ficaram expostas no site da Enel podem ser usadas inclusive em campanhas eleitorais.

“Imagina o quanto é valioso para um candidato a vereador ou a prefeito de uma cidade um pouco menor ter o nome, o endereço, o número de telefone e do CPF e o consumo de energia de todos os imóveis de uma determinada cidade. Isso pode colocar uma vantagem inesperada para esse candidato”.

Ele lembra das eleições de 2018, quando houve denúncias de disparos em massa de mensagens pelo WhatsApp. “Ninguém fala que, para haver disparos em massa, é preciso ter a massa para quem disparar. Nesse caso, precisava do telefone”.

Casos como este da Enel costumam ocorrer por descuido da empresa, diz o especialista. E é algo com prejuízo incalculável. “O grande problema deste episódio é o de expor a base de clientes a uma situação de vulnerabilidade em relação aos seus dados pessoais. Isso tem dano que não é simples de calcular. Uma vez vazado, é difícil voltar atrás. É igual poluir um rio. Para despoluir, vai demorar um tempo”.

Após contato da Gazeta, a Enel Distribuição São Paulo deu sua posição sobre o episódio. “A Enel Distribuição São Paulo informa que está apurando o caso e, adicionalmente, implementou medidas para reforçar ainda mais a segurança do site eletrônico da companhia. A empresa acrescenta que segue rigorosos processos globais de segurança da informação, baseados nas melhores práticas de mercado”.