Usuários da cidade de Osasco, região metropolitana de São Paulo, tiveram seus dados sensíveis expostos e empresa promete medidas

Foto: Divulgação Enel

Com base na nova lei LGPD (Lei Geral de Proteção de Dados), a Enel Distribuição São Paulo precisa comunicar seus clientes sobre o incidente ocorrido com seus dados.

Cerca de 300mil usuários já foram comunicados pela que que seus dados pessoais vazaram, incluindo nome completo, endereço, telefone, CPF, número da conta bancária, consumo de eletricidade, entre outros.

Um analista de sistemas descobriu a falha por acaso enquanto navegava pelo sita da cia na seção de clientes e observou um link disponível na página da empresa e quando acessou este link, viu que era possível acessar os dados de qualquer cliente pessoa física a partir do nome, CPF ou endereço do usuário.

“A gente conseguiu daqui achar os dados do [apresentador] Silvio Santos, do [governador] João Doria”, diz o analista, que prefere não se identificar. Como prova da falha, o analista enviou ao veículo de comunicação Gazeta de SP os documentos obtidos, como os dados de energia de Silvio Santos, mas o jornal preferiu não revelar as informações.

Com este acesso, o usuário poderia solicitar corte de energia e até mesmo troca de titularidade.

“Se quisesse, a gente poderia cancelar a conta da casa do Silvio Santos ou do Doria”, diz o analista. Em comunicado, a empresa informou que apenas usuários da cidade de Osasco foram atingidos pelo incidente:

“A Enel Distribuição São Paulo informa que tomou conhecimento de incidente local envolvendo dados de cerca de 4% da base de clientes da companhia, todos do município de Osasco”, diz a empresa em comunicado.

Segundo nota, a Enel afirma que já iniciou um processo de verificação interna e está comunicando o fato às autoridades e a todos os clientes que foram afetados.

No e-mail, a Enel diz ter realizado análises preliminares e “não é ainda possível concluir que o incidente tenha originado riscos significativos a você”. No entanto, ela sugere que os clientes fiquem atentos “a comunicações telefônicas ou eletrônicas de terceiros que solicitem seus dados pessoais e sigilosos (por exemplo, senhas)”.

Também na mensagem, a empresa pede “sinceras desculpas pelo ocorrido” e promete novas medidas “para evitar que outros eventos como esse ocorram no futuro”.

Em Setembro deste ano, começou a valer a LGPD onde as empresas são obrigadas a informar com rapidez seus clientes em caso de vazamento e é necessário mencionar os tipos de dados pessoas afetados, além dos riscos relacionados ao incidente e quais medidas foram e serão tomadas para reverter e evitar os efeitos do vazamento.

As penalidades previstas pela LGPD, podem variar de uma advertência à uma multa de 2% sobre o faturamento anual, limitado a R%50 milhões. A aplicação da penalidade está a cargo da ANPD (Agência Nacional de Proteção de Dados), do qual ainda esta com sua composição em formação.

Nossa equipe de especialistas em segurança da informação, estão prontos para ajudar o seu negócio na implementação da LGPD, mantendo os dados dos seus clientes em segurança, evitando assim, penalidades previstas pela lei. Converse agora com um de nossos especialistas: comercial@ksecurity.com.br

Fonte: Gazeta de SP