Hidroelectrica a lansat o aplicație. Nu mi se pare sigură și securizată

Hidroelectrica s-a lăudat că a lansat în final aplicație pentru utilizatori. Practic acolo vezi ce consum ai avut, iar eu am descoperit că am consum mai mic anul ăsta, față de cel de anul trecut. Un lucru îmbucurător de altfel, asta înseamnă că automatizările de acasă și dispozitivele de măsurare al consumului au dat roade.

Pe de altă parte, abia acum apar problemele de securitate pentru aplicație. Aici fiecare utilizator trebuie să facă un cont nou, unde să linkuiască CNP-ul, cu POD-ul locului de consum, iar mai apoi să își creeze un user și o parolă.

Atât de bine a fost testată aplicația înainte încât în momentul creării conturilor și atunci când se făcea linkul dintre CNP și POD, utilizatorul vedea datele de contact și personale ale altei persoane. Acum aplicația s-a oprit pentru remedierea acestor probleme.

Altfel, CNP-ul e un bun public, oricine poate inventa un CNP, care este constituit din sex, data nasterii și ceva cod de identificare în funcție de județ. Oricum au fost atât de multe scurgeri de baze de date oficiale, încât CNP-ul nu trebuie considerat sub nicio formă un element de control al unei persoane, ci cel mult de identificare, la fel ca numele.

Aplicația îmi arată în continuare sold de plată, deși am facturile plătite. Ceea ce e trist.

Aplicația nu are și opțiune de plată. Drept urmare, degeaba există.

Hacking pe aplicația iHidro

Pentru că aplicația este pe bază de user și parolă, aștept să se facă cele 500.000 de conturi, câți clienți are Hidroelectrica și apoi să vină cineva să spargă baza de date și să fure conturile. Că nu e greu și s-a tot făcut.
Aplicația nu permite autentificarea prin Facebook sau Google sau Apple ID, iar asta e o problemuță. Nu de alta, dar autentificarea prin aplicații terțe, te scutește pe tine de problema autentificării și stocarea parolelor utilizatorilor. Știm că toată lumea folosește aceeași parolă peste tot.

Aplicația a fost dezvoltată de SEW, un acronim de la Smart Energy Water. Aparent aceștia au sediul undeva în California și sunt tipul acela de companii care știu ei mai bine și au cunoștințe în toți producătorii de energie din întreaga lume. Sunt de altfel și răspândiți în întreaga lume. Dar judecând după funcționalitatea din România, mă întreb cum pot să funcționeze la fel de prost și în alte țări.
De-a lungul timpului am tot descoperit că în toată lumea sunt aceleași probleme, dar oamenii le tratează punctual și nu le comunică. Pagina lor de prezentare a produsului, zici că este o pagină de phishing, nu a vreunui furnizor serios. Dar ei au făcut o aplicație, iar asta e implementată peste tot. Și la noi.

Ce trebuie să faci

Partea bună e că există o aplicație și un website care centralizează niște lucruri. Aplicația pe Google Play este aici, siteul e ihidro.ro, fără www, că nu știu oamenii să facă siteuri cu www sau redirect.

• NU folosi parola ta pe aplicația Hidroelectrica. Folosește o parolă pe care nu o folosești în alte locuri. Nu folosi parola de dicționar sau vreuna care să poată fi ghicită.
• Folosește un email de spam. Știu că e nasol, că e de facturi, dar ne considerăm toți responsabili. Și la câtă încredere ne dă aplicația asta, nu folosi acolo mailul principal, ca nu cumva să se umple de tot soiul de mesaje nesolicitate. Folosește adresa aia de spam pe care primești toate prostiile.
• Caută să plătești facturile ca până acum, prin aplicația Pago sau prin canalele băncii. Rămâne doar ca Hidroelectrica să vadă ca s-a făcut plata.
• Salvează mailurile de confirmare a plății facturilor. Sunt de părere că și aici vor apărea sincope.