Dados cadastrais de clientes da Enel em Osasco vazam de forma indevida

Nesta segunda-feira (9), cerca de 300 mil clientes da Enel Distribuição São Paulo foram informados que tiveram seus dados cadastrais vazados. O número corresponde, segundo a concessionária de energia, a 4% de sua base de consumidores. Em fevereiro deste ano, a Gazeta revelou, com exclusividade, que uma falha no sistema do site da Enel também deixou expostos os dados pessoais e conta de energia de usuários de parte das 7,2 milhões de residências das 24 cidades em que a empresa atua na região metropolitana de São Paulo durante uma semana (leia mais abaixo).

Os afetados desta vez são todos do município de Osasco, na Grande São Paulo. Entre as informações vazadas estão CPF, e-mail, número de telefone, idade, data de nascimento, RG, endereço, além de dados bancários.

Leia mais:

Vereador chama acordo entre Procon e Enel de 'absurdo'

Em nota, a empresa informou ter desabilitado o acesso ao banco de dados e iniciou um processo de verificação interna.

Leia a nota completa:

"A Enel Distribuição São Paulo informa que tomou conhecimento de incidente local envolvendo dados de cerca de 4% da base de clientes da companhia, todos do município de Osasco. A companhia iniciou imediatamente processo de verificação interna e está comunicando o fato às autoridades competentes. Todos os clientes que tenham sido afetados estão sendo notificados direta e individualmente por meio de e-mail ou carta, seguindo o compromisso de transparência da companhia e em linha com a legislação de Proteção de Dados.

A partir do momento que tomou conhecimento do incidente pontual, a companhia desabilitou imediatamente o acesso a este banco de dados e iniciou um processo de verificação interna. Todas as medidas necessárias estão sendo adotadas para reforçar a segurança dos sistemas da companhia.

A Enel Distribuição São Paulo segue rigorosos padrões globais de segurança da informação, baseados nas melhores práticas de mercado, e tem trabalhado continuamente para garantir a segurança de seus sistemas.

Em caso de dúvida, os clientes que receberam a comunicação da Enel São Paulo sobre este incidente podem entrar em contato diretamente pelo canal de atendimento: 0800 7272 120".

Outro caso.

Uma falha no sistema do site da Enel Distribuição São Paulo deixou expostos os dados pessoais e conta de energia de usuários de parte das 7,2 milhões de residências das 24 cidades em que a empresa atua na região metropolitana de São Paulo na última semana de janeiro.

A falha foi descoberta por acaso por um analista de sistema em 27 de janeiro. Um colega de trabalho navegava pela seção de clientes do site da empresa quando clicou em um link facilmente disponível na página eletrônica. Esse link dava acesso a um campo de busca, pelo qual era possível acessar as informações de qualquer cliente pessoa física a partir do nome, CPF ou endereço do usuário.

“A gente conseguiu daqui achar os dados do [apresentador] Silvio Santos, do [governador] João Doria”, diz o analista, que prefere não se identificar. Ele enviou à Gazeta os documentos obtidos, como os dados de energia de Silvio Santos, mas o jornal preferiu não revelar as informações.

O analista explica que alguém mal intencionado poderia entrar no sistema de qualquer cliente e pedir, por exemplo, para cortar a energia elétrica da casa ou até mudar a titularidade. “Se quisesse, a gente poderia cancelar a conta da casa do Silvio Santos ou do Doria”, diz.

Segundo ele, era possível ainda obter com facilidade informações de clientes de prédios e ruas inteiros, e ter diversos dados pessoais de clientes, como número de telefone e endereço de e-mail.

O analista entrou em contato com o serviço de atendimento ao consumidor da Enel para alertar sobre o erro, mas os atendentes não souberam lidar com a solicitação. Só no sábado (1º), após conseguir conversar com funcionários de setores mais específicos da empresa, a falha foi resolvida. “O problema durou pelo menos uma semana”, diz o analista.

A princípio, a falha atingiu os clientes das 24 cidades em que a Enel atua na região metropolitana de São Paulo: Barueri, Cajamar, Carapicuíba, Cotia, Diadema, Embu, Embu Guaçu, Itapecerica da Serra, Itapevi, Jandira, Juquitiba, Mauá, Osasco, Pirapora do Bom Jesus, Ribeirão Pires, Rio Grande da Serra, Santana de Parnaíba, Santo André, São Bernardo do Campo, São Caetano do Sul, São Lourenço da Serra, São Paulo, Taboão da Serra e Vargem Grande Paulista.

Além da região metropolitana de São Paulo, onde atua desde 2018, a Enel também presta serviço aos estados do Rio de Janeiro, Ceará e Goiás.

Exposição de dados

Para Francisco Brito Cruz, diretor do InternetLab, um centro de pesquisa em direito e tecnologia, há diversos problemas na exposição de dados como o ocorrido neste episódio com a Enel. O principal é a possibilidade de inclusão de informações pessoais em bancos de dados sem a permissão do cliente.

“O real perigo não é só as pessoas saberem onde você mora, mas agentes mal intencionados coletarem seus dados, e esses dados começarem a fazer parte de bancos de dados por aí. Dados são informações sobre você. E informações sobre você são tudo o que precisam para te manipular”, explica o especialista.

O diretor da InternetLab diz também que, caso caia em mãos erradas, as informações que ficaram expostas no site da Enel podem ser usadas inclusive em campanhas eleitorais.

“Imagina o quanto é valioso para um candidato a vereador ou a prefeito de uma cidade um pouco menor ter o nome, o endereço, o número de telefone e do CPF e o consumo de energia de todos os imóveis de uma determinada cidade. Isso pode colocar uma vantagem inesperada para esse candidato”.

Ele lembra das eleições de 2018, quando houve denúncias de disparos em massa de mensagens pelo WhatsApp. “Ninguém fala que, para haver disparos em massa, é preciso ter a massa para quem disparar. Nesse caso, precisava do telefone”.

Casos como este da Enel costumam ocorrer por descuido da empresa, diz o especialista. E é algo com prejuízo incalculável. “O grande problema deste episódio é o de expor a base de clientes a uma situação de vulnerabilidade em relação aos seus dados pessoais. Isso tem dano que não é simples de calcular. Uma vez vazado, é difícil voltar atrás. É igual poluir um rio. Para despoluir, vai demorar um tempo”.

Após contato da Gazeta, a Enel Distribuição São Paulo deu sua posição sobre o episódio. “A Enel Distribuição São Paulo informa que está apurando o caso e, adicionalmente, implementou medidas para reforçar ainda mais a segurança do site eletrônico da companhia. A empresa acrescenta que segue rigorosos processos globais de segurança da informação, baseados nas melhores práticas de mercado”.