Une faille de sécurité dans le site web d’AES Eletropaulo a permis d’accéder aux données personnelles des clients du distributeur d’électricité, qui opère dans 24 municipalités du Grand Paris, dont la capitale. Dans le pire des cas, un utilisateur malveillant pourrait demander l’interruption de l’alimentation électrique d’un autre client.
La faille a été découverte par Carlos Eduardo Santiago, étudiant en systèmes d’information. La vulnérabilité a été explorée en seulement cinq étapes et a nécessité que l’utilisateur dispose du CPF du titulaire et du numéro d’installation, qui est disponible sur la facture. Folha affirme que le problème s’est encore posé jusqu’à 18h30 hier.
Avec un changement d’URL de la page Eletropaulo, un client de la concession pourrait entrer sur le compte d’un autre client et passer d’informations de base, telles que le numéro de téléphone et l’adresse électronique du titulaire, à des données qui pourraient poser des problèmes majeurs, comme la date d’expiration et l’adresse de livraison. En outre, grâce à un accès illimité, un utilisateur peut également signaler des pannes électriques, demander une coupure de courant et consulter la facture des 13 derniers mois.
Eletropaulo, qui possède 6,1 millions de clients, a déclaré que c’est le premier problème de sécurité découvert sur le site et a travaillé rapidement sur la brèche, mais Folha souligne que l’étudiant a signalé la brèche le 31 et que la société n’a commencé à résoudre l’affaire qu’hier. La compagnie d’électricité a déclaré que la vulnérabilité avait déjà été supprimée et a indiqué qu’elle prévoyait de lancer un nouveau site vers le mois de novembre. Cette fois, nous espérons, sans l’échec.