CEMIG: vazamento de dados atingiu clientes; falha corrigida

Duas vulnerabilidades na concessionária CEMIG (Companhia Energética de Minas Gerais) deixavam acessíveis informações pessoais e financeiras de clientes, segundo relatório recebido pelo TecMundo. Após contato, a companhia corrigiu as falhas no sistema.

O pesquisador de segurança Lucas Emanuel encontrou duas falhas conhecidas como Broken Access Control (CVSS 7.5) e IDOR (CVSS 7.9). A primeira delas permite que cibercriminosos ultrapassem restrições de administrador em um sistema; já a segunda libera o acesso direto para um objeto, arquivo, diretório ou chave de banco de dados para um criminoso, sem qualquer tipo de autorização.

Para realizar a pesquisa, Lucas Emanuel explica que “todos os testes foram realizados utilizando um token de um usuário válido e não expirado. Nos testes, foram feitas consultas em GraphQL e foi possível obter uma fatura registrada no nome de outro usuário — e fatura foi retornada com sucesso em formato Base64”.

Pesquisa

Especificamente sobre a falha IDOR, o pesquisador afirma que, “devido à natureza sequencial dos números de fatura, é possível realizar uma enumeração sistemática permitindo o acesso a todas as faturas existentes, incluindo as de outros clientes da CEMIG”.

A CEMIG foi criada em 1952 e atende mais de nove milhões de clientes. Após contato do TecMundo, a companhia realizou o trabalho de correção de ambas as falhas: “A Cemig informa que atuou imediatamente após ser informada da vulnerabilidade e providenciou a correção da anomalia. Dessa forma, não há mais vulnerabilidade de segurança relacionada ao caso apresentado pelo pesquisador”.

Não realizar qualquer pagamento que chegue por email e SMS sem realizar uma checagem nos canais oficiais

Entre as informações pessoais e financeiras, era possível encontrar: nome completo, endereço residencial, CPF parcial, consumo de energia, valor da conta, número do cliente, instalação e QRs Codes de pagamento.

Os problemas que envolvem a exposição desses dados são diversos. O mais comum toca no phishing direcionado, permitindo que cibercriminosos utilizem essas informações para desenvolver golpes mais precisos sobre os clientes da CEMIG. Por isso, é importante ficar atento ao email e mensagens SMS recebidas: não realizar qualquer pagamento que chegue por esses meios sem realizar uma checagem nos canais oficiais.

boletosUm dos boletos acessíveis como prova

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *