Post do portal de tecnologia da Folha de São Paulo, publicado em 06/09/2012 e escrito por Yuri Gonzaga. Clique aqui para ler o original
[atualizações em cinza]

Uma falha de segurança no site da AES Eletropaulo permitia, até a noite de ontem [quarta-feira, dia 5 de setembro], que fossem acessados e alterados os dados cadastrais e de pagamento dos 6,4 milhões de clientes residenciais da companhia de energia elétrica da Grande São Paulo.

A brecha foi encontrada na semana passada [última semana de agosto] pelo estudante de sistemas de informação Carlos Eduardo Santiago, 20 – ele relatou o caso ao serviço de atendimento ao consumidor da Eletropaulo na última sexta (31).

A Eletropaulo só começou a resolver o caso ontem [quarta-feira, dia 5], após ser questionada pela Folha. Na manhã desta quinta (6), a seção de serviços do site da Eletropaulo estava operacional e sem a falha. Posteriormente, o acesso ao site permaneceu interrompido entre as 10h e as 12h.

Até as 18h30 de ontem [quarta-feira, dia 5], em cinco passos e usando só o CPF e o código de instalação informado na conta, qualquer cliente da Eletropaulo podia entrar no perfil de outro cliente e alterar as informações de contato (o telefone e o e-mail do titular) e da fatura (o endereço de entrega, a data de vencimento e a forma de pagamento).

Era possível ainda ver as faturas dos últimos 13 meses, relatar uma pane elétrica e solicitar a interrupção do fornecimento de energia do cliente invadido.

O estudante Carlos Eduardo Santiago, 20, que descobriu a falha de segurança no site da AES Eletropaulo
foto: Yuri Gonzaga/Folhapress 

A falha ocorria devido a um link desprotegido no site da Eletropaulo (aeseletropaulo.com.br). Uma alteração no link permitia a invasão de outras contas – para evitar a brecha, esse endereço eletrônico deveria ter sido blindado, impedindo alterações.

Para o estudante que encontrou a falha, a companhia foi negligente. “É um erro primário, e eles [desenvolvedores do site] sabem que o erro existe”, diz Carlos Eduardo Santiago. “Sei como esses sites funcionam, mas qualquer um poderia ter descoberto [a falha], até por engano.”

“A Eletropaulo presta um serviço público, e isso é o que me deixa mais indignado. Como vou saber se alguém viu meus dados?”

“CASO INÉDITO”

Concessionária de energia elétrica da capital paulista e de mais 23 municípios da região metropolitana, a Eletropaulo diz que o caso é o primeiro problema de segurança do site da companhia.

“Nós não sabíamos desse caso específico e, assim que tomamos conhecimento, agimos rapidamente”, diz Gustavo Pimenta, vice-presidente de uma divisão de tecnologia da AES Brasil, que controla a Eletropaulo. “É claro que não é uma situação desejável. É como se o cliente visse a conta de luz do vizinho.”

A assessoria de imprensa da companhia disse que um novo site deve ser lançado por volta do mês de novembro. Na segunda (3), a companhia anunciou o investimento de R$ 90 milhões em melhorias no atendimento telefônico.

Sandro Suffert, diretor de tecnologia da empresa Apura Cibersegurança, diz que esse tipo de falha é recorrente.

“Esse problema é uma questão de consciência de quem desenvolve o site. É um erro crítico, mas comum.”

O especialista em segurança digital diz que a falha abre espaço para ataques cibernéticos, mas que poderia ser sanada facilmente.

“Isso seria evitado se houvesse controle mais rígido na autenticação do site, por meio dos chamados ‘cookies’, por exemplo. Seria preciso mais cuidado na criação do serviço, algo que, por tomar mais tempo, custaria mais.”

Segundo Suffert, para que a brecha tivesse sido evitada, seria preciso investimento extra de “no máximo” R$ 10 mil.