CEMIG corrige vulnerabilidades que expunham dados de clientes

A concessionária de eletricidade possuía em seus sistemas duas brechas que poderiam permitir a exfiltração de dados pessoais de cidadãos, conforme indicou pesquisa de usuário independente. Em nota, a companhia afirmou ter bloqueado ambas as vulnerabilidades

Compartilhar:

A Companhia Elétrica de Minas Gerais (CEMIG) confirmou, em nota enviada hoje (19) para a Security Report, que duas vulnerabilidades encontradas em seus sistemas foram fechadas após serem descobertas.

 

Portais de notícias nacionais sobre tecnologia repercutiram um estudo produzido por um usuário independente em que indicava haver duas brechas de Segurança expostos nos sistemas da concessionária de energia. Através dessas vulnerabilidades, era possível cruzar as restrições de administrador do ambiente, bem como acessar diretamente objetos, arquivos diretórios ou chaves de bancos de dados, sem a necessidade de autorização.

 

Por meio desse caminho, um cibercriminoso seria capaz de acessar e exfiltrar nomes completos, endereços residenciais, CPFs mascarados, registros de consumo de energia, valor da conta, número do cliente, processos de instalação e QR codes de pagamento. Tais dados, essencialmente cadastrais, costumam ser usados para campanhas de phishing direcionado.

 

De acordo com a CEMIG, tão logo foi informada das vulnerabilidades, sua equipe de tecnologia da informação agiu para bloquear o acesso a elas e procedeu na correção dessas anomalias. “Dessa forma, não há mais vulnerabilidade de segurança relacionada ao caso apresentado pelo pesquisador”, acrescentou o comunicado. Não há informações, todavia, se as brechas chegaram a ser exploradas por algum agente hostil. 

 

A proteção de dados dos clientes é um fator crucial para todas as empresas que estejam atuando na rede, pois o valor dessas informações pode atrair a atenção de cibercriminosos interessados em roubá-las e revendê-las no mercado clandestino, expondo diversas pessoas a ações de hackers e golpistas.

 

Além disso, o tratamento indevido desses registros pode expor a companhia a ações sancionatórias de órgãos nacionais de proteção de dados, como a ANPD, devido à desconformidade com Leis de proteção de dados. No Brasil, as empresas estão sujeitas aos ditames regulatórios da Lei Geral de Proteção de Dados (LGPD).

 

Neste ano, por exemplo, a Netshoes foi alvo de um incidente cibernético que, segundo a empresa, poderia ter exposto dados de 38 milhões de usuários da plataforma de e-commerce, além de informações relacionadas a outras 40 milhões de compras efetivadas. Devido a essa ocorrência, o Procon de São Paulo decidiu abrir uma investigação para apurar possíveis descumprimentos à LGPD e ao Código de Defesa do Consumidor.

 

A Security Report publica, na íntegra, nota enviada pela CEMIG:

 

A CEMIG informa que atuou imediatamente após ser informada da vulnerabilidade e providenciou a correção da anomalia. Dessa forma, não há mais vulnerabilidade de segurança relacionada ao caso apresentado pelo pesquisador. 

 

Conteúdos Relacionados

Security Report | Destaques

Security Leaders destaca diversidade ao celebrar nova geração de Líderes de SI

Prêmio de Líder ressalta a inclusão no mercado de Cibersegurança, reunindo talentos de todas as regiões do Brasil e destacando...
Security Report | Destaques

Prêmio de Case | Indústria mostra avanço da maturidade cibernética no Brasil

O Security Leaders destacou os cases premiados na noite desta quinta-feira (5), histórias de sucesso que refletem o avanço da...
Security Report | Destaques

Inteligência Artificial: ANPD terá papel central na regulação da tecnologia

O PL 2338/23 foi aprovado essa semana por senadores da Comissão Especial sobre o tema, depois que disputas internas foram...
Security Report | Destaques

APIs e Aplicações: o calcanhar de Aquiles da segurança digital?

Durante Painel de Debates Online Organizado pela TVSecurity, executivos da Brookfield, Grupo Moura, Imperva, e Nec Brasil abordaram os desafios...