Uma falha no site da AES Eletropaulo possibilitou o acesso a dados sobre o pagamento de contas de 6,4 milhões de consumidores. Mesmo alertada por Carlos Eduardo de Santiago, um estudante de sistemas da informação, a concessionária de energia levou cinco dias para começar a tentar resolver o problema.
Conforme relatou o estudante ao jornal Folha de S. Paulo, ao informar o CPF e o código de instalação, qualquer pessoa podia acessar dados de outro consumidor e alterar as informações cadastrais, tais como telefone, e-mail, e da fatura, como endereço, data de vencimento e meio de pagamento. Em entrevista ao diário, Santiago diz que entrou em contato com a concessionária na sexta-feira, 31 de agosto, mas não surtiu efeito pois o problema no site continuou nesta semana.
AES Eletropaulo publicou um comunicado, na noite de quarta-feira, 5, informando a retirada de seu serviço de atendimento online do ar, o que confirma a demora em trattar do problema. Ainda segundo o registro de mensagens no perfil da companhia na rede de microblogs, o aviso de reestabelecimento do sistema foi publicado apenas por volta das 10 horas do dia seguinte.
Em nota oficial, a concessionária confirmou a vulnerabilidade e o início da manutenção apenas na quarta-feira à noite, mas negou que tenha havido acesso aos dados dos consumidores. "A vulnerabilidade apontada não era acessível para qualquer usuário. Era necessário conhecimentos técnicos – montar sistematicamente uma combinação de códigos – e a intenção de obter dados de terceiros", diz o comunicado.
A AES Eletropaulo também disse que não há o registro de qualquer alteração de informações cadastrais com a falha. "A manobra não dava acesso ao sistema da AES Eletropaulo e, sim, a visualização da segunda via de fatura", completa a nota. Segundo a concessionária, a equipe de segurança da informação blindou essa interface e os serviços funcionam normalmente desde às 22 horas de ontem.
De acordo com a empresa, "nunca houve registro de invasão ao site".
