Вопрос или проблема
Считается ли неаутентифицированный доступ к показаниям электрических счетчиков уязвимостью?
Мой поставщик услуг начал отправлять электронные письма с URL, который включает мой номер счета. Я могу кликнуть и увидеть свои последние показания и отправить новые.
Это полностью неавторизовано, вы можете попытаться угадать номер счета кого-то (последовательная числовая нумерация) и увидеть (и добавить) их показания.
Они игнорировали мою просьбу исключить мой счет из этой функции.
Это известная уязвимость? У нее есть название?
Если конкурент может увидеть всю эту информацию о каждом в городе, провести расчеты и отправить многим людям электронное письмо с текстом “вы платите $X в месяц. Если вы перейдете к нашей компании, вы сможете сэкономить 12.9% или $Y в месяц”, ТО тогда руководство увидит в этом уязвимость. Если полиция использует это, чтобы найти тех, кто вырастает марихуану с огромными счетами за электричество, решать вам, является ли это уязвимостью (для выращивателя) или нет (для общества и для арендодателя).
Что вы можете увидеть мои затраты на электроэнергию, это не то, о чем я сильно беспокоюсь. Кроме того, если я попрошу своего начальника о повышении, потому что все, включая энергию, становится дороже, и он сможет проверить и сказать, что я лгу. Если кто-то сможет ввести ложные показания, это может стать серьезным неудобством.
У меня был случай, когда энергетическая компания переоценила мое использование и выставила слишком большой счет, затем я предоставил правильные данные, и счет снизился, но теперь был сильно недооценен, так что я переплатил, предоставил им корректные показания, и они снова переоценили больше, чем прежде, и за три года это стало совершенно абсурдным. Если вы знаете их алгоритмы, вы могли бы, вероятно, создать произвольно высокий счет для меня, отправив фальшивые данные.
Ответ или решение
Неавторизованный доступ к показаниям счетчиков электричества действительно рассматривается как уязвимость. В приведённом вами случае, возможность угадывания номера счётчика, что позволяет третьим лицам просматривать и, что более важно, изменять ваши показания, представляет собой серьёзную угрозу безопасности.
Определение уязвимости
Уязвимость в данном контексте можно охарактеризовать как возможность третьей стороны получать доступ к чувствительной информации без проверки подлинности. Это может быть частью более широкой категории известных уязвимостей, таких как неправильная аутентификация (Insecure Direct Object References, IDOR), где злоумышленник может получить доступ к ресурсам, просто манипулируя параметрами запроса (например, номером счётчика в URL).
Потенциальные последствия
-
Конфиденциальность: Злоумышленники могут получить доступ к данным о вашем потреблении электроэнергии, что потенциально может использоваться для целевой рекламы со стороны конкурирующих компаний. Это также ставит под угрозу вашу личную финансовую информацию.
-
Фальсификация показаний: Возможность изменения показаний счётчика может привести к неправильному выставлению счетов. Как вы сами упомянули, это может создать ситуации с переплатами или недоплатами, что является не только невыгодным, но и потенциально преступным.
- Юридические и моральные аспекты: Если информация о потреблении электричества используется для вывода на уровень социальной ответственности (например, информация о высоком потреблении энергии может быть использована для выявления нелегальных действий), это поднимает вопросы о правомерности доступа к таким данным.
Рекомендации
-
Обращение к поставщику услуг: Если ваша жалоба была проигнорирована, стоит настоять на необходимости внедрения аутентификации на уровне доступа. Это может включать внедрение двухфакторной аутентификации или защиты по паролю.
-
Информирование регуляторов: Свяжитесь с местными органами регулирования, так как подобная незащищенная информация может нарушать законы о защите данных.
- Участие в обсуждении общественной политики: Ваш случай может быть частью более широкой проблемы, и участие в общественных обсуждениях может способствовать изменению подходов к обеспечению безопасности и конфиденциальности в энергоснабжении.
Таким образом, да, неавторизованный доступ к показаниям счетчиков можно рассматривать как уязвимость, которая требует немедленного внимания как со стороны потребителей, так и со стороны поставщиков энергоресурсов.