A Companhia Elétrica de Minas Gerais (CEMIG) confirmou, em nota enviada hoje (19) para a Security Report, que duas vulnerabilidades encontradas em seus sistemas foram fechadas após serem descobertas.
Portais de notícias nacionais sobre tecnologia repercutiram um estudo produzido por um usuário independente em que indicava haver duas brechas de Segurança expostos nos sistemas da concessionária de energia. Através dessas vulnerabilidades, era possível cruzar as restrições de administrador do ambiente, bem como acessar diretamente objetos, arquivos diretórios ou chaves de bancos de dados, sem a necessidade de autorização.
Por meio desse caminho, um cibercriminoso seria capaz de acessar e exfiltrar nomes completos, endereços residenciais, CPFs mascarados, registros de consumo de energia, valor da conta, número do cliente, processos de instalação e QR codes de pagamento. Tais dados, essencialmente cadastrais, costumam ser usados para campanhas de phishing direcionado.
De acordo com a CEMIG, tão logo foi informada das vulnerabilidades, sua equipe de tecnologia da informação agiu para bloquear o acesso a elas e procedeu na correção dessas anomalias. “Dessa forma, não há mais vulnerabilidade de segurança relacionada ao caso apresentado pelo pesquisador”, acrescentou o comunicado. Não há informações, todavia, se as brechas chegaram a ser exploradas por algum agente hostil.
A proteção de dados dos clientes é um fator crucial para todas as empresas que estejam atuando na rede, pois o valor dessas informações pode atrair a atenção de cibercriminosos interessados em roubá-las e revendê-las no mercado clandestino, expondo diversas pessoas a ações de hackers e golpistas.
Além disso, o tratamento indevido desses registros pode expor a companhia a ações sancionatórias de órgãos nacionais de proteção de dados, como a ANPD, devido à desconformidade com Leis de proteção de dados. No Brasil, as empresas estão sujeitas aos ditames regulatórios da Lei Geral de Proteção de Dados (LGPD).
Neste ano, por exemplo, a Netshoes foi alvo de um incidente cibernético que, segundo a empresa, poderia ter exposto dados de 38 milhões de usuários da plataforma de e-commerce, além de informações relacionadas a outras 40 milhões de compras efetivadas. Devido a essa ocorrência, o Procon de São Paulo decidiu abrir uma investigação para apurar possíveis descumprimentos à LGPD e ao Código de Defesa do Consumidor.
A Security Report publica, na íntegra, nota enviada pela CEMIG:
A CEMIG informa que atuou imediatamente após ser informada da vulnerabilidade e providenciou a correção da anomalia. Dessa forma, não há mais vulnerabilidade de segurança relacionada ao caso apresentado pelo pesquisador.
