15:34
13/7/2017

Maciej zwrócił nam uwagę na aplikację “Mój licznik” od Energa. Pozwala on na podgląd zużycia prądu, z czego da się wywnioskować np. momenty nieobecności w mieszkaniu (domu). Co więcej, choć Maciej kupił mieszkanie rok temu, był w stanie zobaczyć wykres odczytanego prądu z  licznika, w tym zużycie dzienne poprzedniego właściciela.

Przykładowe dane z aplikacji “Mój licznik”

Macieja najbardziej zaniepokoiło to, że założenie konta w systemie nie wymaga podania adresu e-mail połączonego z umową klienta. Wystarczy podać dowolny adres e-mail, numer Punktu Poboru Energii (PPE) oraz numer licznika, a te dane widnieją na fakturze. Przejęcie faktury nie wydaje się czymś nieosiągalnym. Pytanie, czy Energa nie powinna lepiej zabezpieczyć aplikacji przed niepowołanym dostępem?

Spytaliśmy o to Andrzeja Lisa-Radomskiego z biura prasowego Energii. Odpowiedź dostaliśmy po tygodniu.

W odniesieniu do informacji dostarczonej przez Państwa została przeprowadzona szczegółowa analiza problemu, w której zweryfikowano cały proces rejestracji nowego klienta.

W celu założenia konta w aplikacji ,,Mój Licznik” konieczne jest wprowadzenie numeru licznika oraz numeru PPE odbiorcy. W następnym kroku konieczna jest akceptacja regulaminu oraz zatwierdzenie rejestracji za pomocą podanego adresu e-mail. Numer PPE i nr licznika mogą być przypisane w danym czasie tylko do jednego konta. Zatem kradzież danych z faktury może skutkować założeniem przez niepowołaną osobę konta tylko wówczas, gdy dany odbiorca jeszcze tego nie zrobił. Należy zwrócić uwagę, że wejście w posiadanie w sposób nieupoważniony korespondencji odbiorców przez osoby trzecie (zarówno jeśli chodzi o kradzież listu pocztowego ze skrzynki czy przywłaszczenie przesyłki, jak też otwarcie zamkniętego pisma bądź ujawnienie danych innej osoby) podlegają regulacjom prawnym. Odbiorca, który nie może założyć konta lub podejrzewa przejęcie swoich danych, ma możliwość reklamacji, zgodnie z paragrafem 7 Regulaminu Portalu. Po weryfikacji problemu istniejące konto może zostać zablokowane lub usunięte, natomiast powstały incydent zgłoszony zostanie właściwym organom w celu wszczęcia postępowania karnego.

Sugerowana przez Państwa dodatkowa ochrona w procesie rejestracji nowego konta, polegająca na połączeniu danych klienta z adresem e-mail, obecnie nie jest możliwa. Wynika to z faktu, że podczas podpisywania umowy przez klientów podawanie adresu e-mail nie jest wymagane obligatoryjnie, a w starszych umowach w ogóle nie występował. Sytuacja będzie cały czas monitorowana i w przypadku pojawienia się tego typu incydentów będą podejmowane działania w celu zwiększenia bezpieczeństwa dostępu do aplikacji ,,Mój Licznik”.

Wszelkie sprawy związane z bezpieczeństwem teleinformatycznym prosimy kierować bezpośrednio do Zespołu Reagowania na Incydenty Komputerowe CERT ENERGA pod adres e-mail: cert@energa.pl.

Pogrubienia zostały dodane przez nas.

Mamy tu sytuację podobną jak niegdyś z systemem PUE ZUS. Lepiej załóż konto zanim zrobi to za Ciebie ktoś inny. Uwaga: z aplikacji mogą korzystać osoby, które są klientami Energii i mają liczniki przystosowane do zdalnego odczytu danych.

Trudno w pełni się zgodzić ze stwierdzeniem, że łączenie danych klienta z e-mailem z umowy jest “niemożliwe”. W niejednej firmie skorzystanie z usług nie wymaga podania e-maila, ale można to zrobić później w celu “odblokowania” pewnych usług np. u operatorów telekomunikacyjnych można podać e-mail w celu przejścia na e-faktury. Również banki dają możliwość przekazania e-maila w późniejszym czasie.

Poruszając ten temat chcemy zwrócić uwagę na szerszy problem, jakim jest bezpieczeństwo aplikacji dostarczanych przez dostawców energii oraz bezpieczeństwo “inteligentnych liczników”. Będziemy musieli przyjrzeć się tematowi, a jeśli macie w tej kwestii jakieś ciekawe spostrzeżenia lub informację to wiecie gdzie nas szukać.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

7 komentarzy

Dodaj komentarz
  1. Do k… nędzy, to kolejna sytuacja gdzie mamy zasadę “Lepiej załóż konto zanim zrobi to za Ciebie ktoś inny”. Ile jeszcze niewinni ludzie w tym kraju będą dymani w taki sposób???

  2. “Należy zwrócić uwagę, że wejście w posiadanie w sposób nieupoważniony korespondencji odbiorców przez osoby trzecie […] podlegają regulacjom prawnym.”
    Innymi słowy – “Oszust nie ukradnie poczty celem dalszego oszustwa, to przecież taka kradzież jest niezgodna z prawem” :D

  3. Ale taka prawda. Idąc dalej skoro oszust uzyskał nieautoryzowany dostęp do skrzynki pocztowej (fizycznej) to może przecież uzyskać taki sam dostęp do takowej skrzynki – elektronicznej. Wtedy zabezpieczenie w postaci maila pada.
    Zbadają sprawę, stwierdzą po pół roku że odnotowali 4 przypadki, w tym 3 po publikacji tego artykułu i jeden 8 miesięcy później, więc problem ma charakter incydentalny i jakiekolwiek zmiany są bezcelowe.

    Także rozumiem tematykę portalu ale jednak wygoda przede wszystkim. Acz 2FA przez SMS nie byłoby takie złe…

    • Taka drobna różnica – złodziej wpierw by musiał znać adres skrzynki pocztowej…. a nawet mając do niej dostęp nie tak prosto wydedukować dni czy godziny przebywania w mieszkaniu. Jeśli ktoś już fakturę zapierniczył (co nie jest trudne bo skrzynki na listy są ogólnodostępne) to adres już zna. Do tego porównywanie kwestii przechwycenia poczty z informacją o tym kiedy ile zużywasz prądu to jednak całkiem inny poziom… wystarczy że regularnie widać okresy niższego zużycia i już można bezpiecznie założyć, że nikogo wtedy w mieszkaniu nie ma. Tu nawet lepiej spisuje się zdalny odczyt liczników wodnych bo bez wody jeszcze trudniej żyć (choć pomiary z nich są ponoć tak bezpiecznie odczytywane, że nie ma siły by ktokolwiek niepowołany to zrobił… pytanie czy powołane osoby jednak powinny mieć taką wiedzę).

  4. A kod OBIS C.1.0 to nie numer licznika?

  5. Innology (Dawne RWE Stoen) też pozwala założyć konto online. Co ciekawe do założenia samego konta można użyć dowolnych danych.
    Potem można dokonać powiązania konta z licznikiem. Do tego potrzebne są 2 numery, kod Partnera Handlowego oraz PESEL osoby która ją podpisała lub NIP w przypadku Firmy.
    Z PESELem może nie być łatwo (choć na upartego da się dostać) ale NIP jest dość łatwo dostępnym numerem.
    Nie wiem jak jest w przypadku Energi ale w Innology nie da się dodać więcej niż 1 licznik (a przynajmniej jeszcze nie znalazłem). Więc jak ktoś np ma mieszkanie i firmę albo 2 mieszkania to na każde będzie musiał mieć osobne konto. Aczkolwiek patrząc na to od strony bezpieczeństwa i tego jak zwykle silne hasła są zakładane to chyba ma sens

    • Mały update – kod Partnera Handlowego jest dostępny na rachunku który przychodzi do skrzynki.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: