Duas vulnerabilidades na concessionária CEMIG (Companhia Energética de Minas Gerais) deixavam acessíveis informações pessoais e financeiras de clientes, segundo relatório recebido pelo TecMundo. Após contato, a companhia corrigiu as falhas no sistema.

O pesquisador de segurança Lucas Emanuel encontrou duas falhas conhecidas como Broken Access Control (CVSS 7.5) e IDOR (CVSS 7.9). A primeira delas permite que cibercriminosos ultrapassem restrições de administrador em um sistema; já a segunda libera o acesso direto para um objeto, arquivo, diretório ou chave de banco de dados para um criminoso, sem qualquer tipo de autorização.

Para realizar a pesquisa, Lucas Emanuel explica que “todos os testes foram realizados utilizando um token de um usuário válido e não expirado. Nos testes, foram feitas consultas em GraphQL e foi possível obter uma fatura registrada no nome de outro usuário — e fatura foi retornada com sucesso em formato Base64”.

PesquisaPesquisa

Especificamente sobre a falha IDOR, o pesquisador afirma que, “devido à natureza sequencial dos números de fatura, é possível realizar uma enumeração sistemática permitindo o acesso a todas as faturas existentes, incluindo as de outros clientes da CEMIG”.

A CEMIG foi criada em 1952 e atende mais de nove milhões de clientes. Após contato do TecMundo, a companhia realizou o trabalho de correção de ambas as falhas: “A Cemig informa que atuou imediatamente após ser informada da vulnerabilidade e providenciou a correção da anomalia. Dessa forma, não há mais vulnerabilidade de segurança relacionada ao caso apresentado pelo pesquisador”.

Não realizar qualquer pagamento que chegue por email e SMS sem realizar uma checagem nos canais oficiais

Entre as informações pessoais e financeiras, era possível encontrar: nome completo, endereço residencial, CPF parcial, consumo de energia, valor da conta, número do cliente, instalação e QRs Codes de pagamento.

Os problemas que envolvem a exposição desses dados são diversos. O mais comum toca no phishing direcionado, permitindo que cibercriminosos utilizem essas informações para desenvolver golpes mais precisos sobre os clientes da CEMIG. Por isso, é importante ficar atento ao email e mensagens SMS recebidas: não realizar qualquer pagamento que chegue por esses meios sem realizar uma checagem nos canais oficiais.

boletosUm dos boletos acessíveis como prova

Investir em ações Crédito pessoal Empréstimos bancários Cartão de crédito Consultoria financeira Taxas de juros Investimentos de alto retorno Rendimentos de investimentos Planejamento financeiro Impostos e impostos sobre renda Seguros de vida Criptomoedas Blockchain Investir em imóveis Fundos de investimentos Consultoria de investimentos Aposentadoria privada Empréstimo para empresas
Previous post G20: painel discute proteção de jovens contra bets e violência na internet
Next post A Temporada 2 de Silo tem quantos episódios? Veja calendário de lançamento no Apple TV+

Mais Histórias