Pular para o conteúdo

Vazamento de dados: Vulnerabilidade no site da Enel expôs dados de clientes

Vazamento de dados Enel
Vulnerabilidade no site da Enel expôs dados de clientes, como CPF, endereço e valores de dívidas

Falha de segurança no site da Enel expôs dados de clientes, como CPF, endereço e valores de dívidas. O acesso indevido permitia baixar faturas com informações como CPF, endereço e valores das faturas, através do preenchimento de um formulário com endereço de instalação de energia elétrica e número de identificação.

Após baixar o arquivo, qualquer pessoa poderia retirar a senha e acessar informações como nome completo, endereço e CPF. Ainda não há evidências de que essas informações tenham sido utilizadas para ataques cibernéticos.

A ANPD tem poder para investigar o vazamento e aplicar sanções, além de possíveis ações civis movidas pelos clientes afetados. Se comprovado prejuízo em decorrência do vazamento, a empresa responsável pelo tratamento dos dados pode ser obrigada a indenizar o cliente.

A brecha possibilitava a automatização do download de faturas em massa, através da técnica de raspagem de dados. Esse método também é conhecido como web scraping, que é uma técnica de extração de informações de websites. Ela é realizada de forma automatizada por meio de programas de computador, os chamados “bots” ou “crawlers”, que acessam as páginas da web, analisam seu conteúdo e extraem dados específicos de interesse.

Essa técnica pode ser usada de maneira legítima, por exemplo, para coletar dados públicos para análises estatísticas ou monitoramento de preços. No entanto, diante do vazamento evidenciado pela Enel, também pode ser utilizada de forma maliciosa, como no caso de criminosos que extraem informações sensíveis, como dados pessoais, para cometer fraudes ou golpes. Por esse motivo, a raspagem de dados pode estar sujeita a restrições legais, dependendo das leis de proteção de dados e dos termos de serviço dos sites que estão sendo acessados.

A Enel afirmou que segue padrões de segurança do mercado, embora os documentos baixados tivessem senha, programas licenciados poderiam remover essa proteção. Além disso, a empresa afirmou que envia faturas digitais apenas com a escolha prévia dos clientes e verificação de identidade. Até janeiro, as faturas digitais eram enviadas como anexo de e-mail, mas agora a empresa oferece um link para download, com os usuários sendo informados da mudança na segunda quinzena de janeiro.

Essas informações sensíveis poderiam ser utilizadas para golpes de roubo de identidade e phishing. Essa é uma forma de ataque cibernético em que os criminosos se passam por entidades confiáveis, como empresas legítimas, instituições financeiras ou governamentais, para enganar as pessoas e obter informações confidenciais, como senhas, números de cartão de crédito e informações pessoais.

Os golpistas geralmente enviam mensagens de e-mail, mensagens de texto ou mensagens em redes sociais que parecem legítimas, com o objetivo de fazer com que a vítima clique em um link malicioso, baixe um arquivo infectado ou forneça informações confidenciais.

Uma vez que a vítima cai no golpe e fornece as informações solicitadas, os criminosos podem usar esses dados para cometer fraudes, roubar identidades ou acessar contas bancárias e outras informações sensíveis da vítima. Para se proteger contra phishing, é importante desconfiar de mensagens não solicitadas, verificar a autenticidade dos remetentes e dos links antes de clicar neles, manter o software e os sistemas atualizados e utilizar medidas de segurança, como firewalls e antivírus.

Para casos como esse, o vazamento de dados pessoais, embora indesejável, não gera automaticamente um dano moral indenizável. Segundo a Segunda Turma do Superior Tribunal de Justiça (STJ), o titular dos dados precisa comprovar o efetivo prejuízo decorrente da exposição dessas informações para requerer uma indenização.

No caso específico, a Eletropaulo recorreu de uma condenação por danos morais de R$ 5 mil, após o vazamento dos dados de uma cliente. O Tribunal de Justiça de São Paulo (TJSP) havia entendido que houve falha na prestação de serviços pela concessionária.

No entanto, o relator do recurso no STJ, ministro Francisco Falcão, esclareceu que os dados vazados eram de natureza comum e não sensível, não estando sujeitos a tratamento diferenciado pela Lei Geral de Proteção de Dados Pessoais (LGPD). Portanto, o mero vazamento desses dados não configura dano moral presumido, sendo necessário comprovar o efetivo dano causado pelo acesso indevido.

Time BL Consultoria
Time BL Consultoria
Time BL Consultoria Digital - Direito Digital e Análise Regulatória

Posts Relacionados

Fale Conosco

    Categorias

    Assine nossa Newsletter

    Open chat
    Olá, tudo bem? Como podemos te ajudar?
    Olá! Como podemos ajudar?