Atualmente nada escapa à vontade dos criminosos em atacar os dados das organizações, por forma quase sempre a extorquir dinheiro. Desta vez, na mira dos hackers está a Endesa Espanha, que viu as informações relativas aos seus clientes à venda na Internet… para quem quiser pagar por elas!
Foi num fórum onde se expõem vulnerabilidades, o BreachForums, que apareceram os inícios. Aí, um utilizador chamado “sombraman1919” publicou o que parece ser um pequeno extrato de informação roubada à Endesa. Por enquanto apenas acessível mediante pagamento, tudo indica que milhares de utilizadores registados na Endesa estão expostos a que as suas informações privadas sejam vendidas a quem der mais.
Não sabendo se estes dados são ou não apenas de clientes de Espanha, a partir de hoje, se tem um contrato com a Endesa na sua casa, não atenda qualquer tipo de chamada ou mensagem relacionada com o fornecimento de eletricidade da sua casa. Tudo indica que esta informação será vendida para práticas de phishing.
Basicamente, o phishing é uma fraude online ou telefónica. Aproveita-se de toda a informação que tem sobre si, procurando lucrar com o acesso a essa informação, e tentando sacar-lhe dinheiro.
Neste caso, é de esperar possíveis ameaças de corte do fornecimento de eletricidade da sua casa, alegando falsamente falta de pagamento. É também provável que outros operadores passem a telefonar-lhe, sabendo antecipadamente o seu consumo e o que poderá estar a pagar.
Endesa hackeada. Que dados pessoais seus foram roubados no hack?
Embora tenham censurado parcialmente a imagem acima, as informações vazadas são bastante notáveis. Para começar, o número CUPS (em Portugal é o CUI ou Código Universal de Instalação) foi divulgado. Ou seja, é o Código único que identifica o local de fornecimento de energia. Basicamente, permite-nos identificar o nosso contador/fornecimento de eletricidade. Com ele, é possível ver até a hora de menor consumo (quando, presumivelmente, não se está em casa).
O nome e o apelido da pessoa com quem o contrato foi assinado foram filtrados. Também foi divulgado o seu número de identificação, a morada completa da casa à qual é fornecido o fornecimento de eletricidade e até o número de telefone. Por outras palavras, o terreno perfeito para uma onda de chamadas ou SMS fraudulentos para tentar defraudar todos estes utilizadores.
Segundo consta, 1840 linhas foram objeto de fuga de informação. Cada linha envolve um cliente com todas estas fugas de informação. Assim, pelo menos 1.840 utilizadores da Endesa Espanha viram as suas informações pessoais postas à venda.
Felizmente, uma informação muito mais importante, como a conta bancária em que o pagamento é diretamente debitado, não parece estar refletida nestes dados. Também não é indicado qualquer tipo de nome de utilizador ou palavra-passe para aceder ao sítio Web. No entanto, é possível aceder a uma fatura e, com ela, aceder ao número de conta-corrente de cada utilizador.
Esta informação é fornecida gratuitamente por “sombraman1919”. Para já e segundo informações, a empresa visada ainda não terá feito qualquer declaração sobre os hipotéticos dados roubados aos seus clientes.