Maciej zwrócił nam uwagę na aplikację “Mój licznik” od Energa. Pozwala on na podgląd zużycia prądu, z czego da się wywnioskować np. momenty nieobecności w mieszkaniu (domu). Co więcej, choć Maciej kupił mieszkanie rok temu, był w stanie zobaczyć wykres odczytanego prądu z  licznika, w tym zużycie dzienne poprzedniego właściciela.

Przykładowe dane z aplikacji “Mój licznik”

Macieja najbardziej zaniepokoiło to, że założenie konta w systemie nie wymaga podania adresu e-mail połączonego z umową klienta. Wystarczy podać dowolny adres e-mail, numer Punktu Poboru Energii (PPE) oraz numer licznika, a te dane widnieją na fakturze. Przejęcie faktury nie wydaje się czymś nieosiągalnym. Pytanie, czy Energa nie powinna lepiej zabezpieczyć aplikacji przed niepowołanym dostępem?

Spytaliśmy o to Andrzeja Lisa-Radomskiego z biura prasowego Energii. Odpowiedź dostaliśmy po tygodniu.

W odniesieniu do informacji dostarczonej przez Państwa została przeprowadzona szczegółowa analiza problemu, w której zweryfikowano cały proces rejestracji nowego klienta.

W celu założenia konta w aplikacji ,,Mój Licznik” konieczne jest wprowadzenie numeru licznika oraz numeru PPE odbiorcy. W następnym kroku konieczna jest akceptacja regulaminu oraz zatwierdzenie rejestracji za pomocą podanego adresu e-mail. Numer PPE i nr licznika mogą być przypisane w danym czasie tylko do jednego konta. Zatem kradzież danych z faktury może skutkować założeniem przez niepowołaną osobę konta tylko wówczas, gdy dany odbiorca jeszcze tego nie zrobił. Należy zwrócić uwagę, że wejście w posiadanie w sposób nieupoważniony korespondencji odbiorców przez osoby trzecie (zarówno jeśli chodzi o kradzież listu pocztowego ze skrzynki czy przywłaszczenie przesyłki, jak też otwarcie zamkniętego pisma bądź ujawnienie danych innej osoby) podlegają regulacjom prawnym. Odbiorca, który nie może założyć konta lub podejrzewa przejęcie swoich danych, ma możliwość reklamacji, zgodnie z paragrafem 7 Regulaminu Portalu. Po weryfikacji problemu istniejące konto może zostać zablokowane lub usunięte, natomiast powstały incydent zgłoszony zostanie właściwym organom w celu wszczęcia postępowania karnego.

Sugerowana przez Państwa dodatkowa ochrona w procesie rejestracji nowego konta, polegająca na połączeniu danych klienta z adresem e-mail, obecnie nie jest możliwa. Wynika to z faktu, że podczas podpisywania umowy przez klientów podawanie adresu e-mail nie jest wymagane obligatoryjnie, a w starszych umowach w ogóle nie występował. Sytuacja będzie cały czas monitorowana i w przypadku pojawienia się tego typu incydentów będą podejmowane działania w celu zwiększenia bezpieczeństwa dostępu do aplikacji ,,Mój Licznik”.

Wszelkie sprawy związane z bezpieczeństwem teleinformatycznym prosimy kierować bezpośrednio do Zespołu Reagowania na Incydenty Komputerowe CERT ENERGA pod adres e-mail: cert@energa.pl.

Pogrubienia zostały dodane przez nas.

Mamy tu sytuację podobną jak niegdyś z systemem PUE ZUS. Lepiej załóż konto zanim zrobi to za Ciebie ktoś inny. Uwaga: z aplikacji mogą korzystać osoby, które są klientami Energii i mają liczniki przystosowane do zdalnego odczytu danych.

Trudno w pełni się zgodzić ze stwierdzeniem, że łączenie danych klienta z e-mailem z umowy jest “niemożliwe”. W niejednej firmie skorzystanie z usług nie wymaga podania e-maila, ale można to zrobić później w celu “odblokowania” pewnych usług np. u operatorów telekomunikacyjnych można podać e-mail w celu przejścia na e-faktury. Również banki dają możliwość przekazania e-maila w późniejszym czasie.

Poruszając ten temat chcemy zwrócić uwagę na szerszy problem, jakim jest bezpieczeństwo aplikacji dostarczanych przez dostawców energii oraz bezpieczeństwo “inteligentnych liczników”. Będziemy musieli przyjrzeć się tematowi, a jeśli macie w tej kwestii jakieś ciekawe spostrzeżenia lub informację to wiecie gdzie nas szukać.

Przeczytaj także: