Beveiligingslek omvormers: ‘Installateurs slaan handleiding niet of nauwelijks open’

‘Vrijwel iedere installateur slaat de installatiehandleiding van de omvormer niet of nauwelijks open. Net zo goed als een consument dat zelden of nooit doet als hij een nieuwe telefoon of televisie koopt’, stelt Klaas Galama van ESTG, dat een van de Nederlandse distributeurs is van het omvormermerk Hosola. ‘Het meest gebruikte wachtwoord ter wereld is ‘12345’ of ‘admin’. Als het wachtwoord van internetrouters en/of omvormers dit niet standaard gewijzigd, dan is het een en ander logischerwijs niet goed beveiligd. De veiligheid van een zonnepanelensysteem en het internetnetwerk van consumenten is in dat perspectief grotendeels afhankelijk – en mijns inziens ook mede de verantwoordelijkheid – van de installateur. Tegelijkertijd krijgt de installateur te maken met een technisch steeds complexere installatie en als direct gevolg wordt het belang van scholing – en de mogelijkheid hiertoe door een goede winstmarge op zonnepanelen –steeds groter.’

Volgens woningcorporatie Domesta is omvormermerk Hosola het meest kwetsbaar voor datalekken. Een oplettende huurder wees de corporatie vorige week op een potentieel datalek bij de Hosola-omvormer.

‘Het nieuws kwam me rauw op het dak vallen’, vertelt Frits Pladdet. Pladdet is eigenaar van de Bouwkeurgroep uit het Gelderse Vorden en opereert de afgelopen 5 jaar als distributeur van het omvormermerk Hosola. De Bouwkeurgroep heeft ‘duizenden’ omvormers aan de man gebracht, vooral in Nederland en Engeland, en heeft ook geleverd aan woningcorporatie Domesta.

Wat is in het kort het probleem? De Hosola-omvormer heeft een wifi-module die continu een zogenaamd ‘accesspoint’ uitzendt (in de lijst netwerken afgekort als AP met een stel cijfers, redactie). Ook na de installatie staat deze “AP” standaard open zodra er niets handmatig gewijzigd wordt.
En dat is een verschil met een aantal andere omvormers op de markt waarbij de ‘AP’ verdwijnt zodra er netwerkcontact is geweest met de router of modem van het (interne) thuisnetwerk.

Uit de steekproef van Domesta blijkt dat ook – bij de oudere omvormers van – de merken Growatt en Omnik er sprake is van een vergelijkbare ‘open’ wifi-verbinding. Klaas Kregel, woordvoerder bij de corporatie: ‘Maar de Hosola is het meest kwetsbaar. Zodra je de AP benadert, kom je in het inlogscherm van de omvormer. Bij Growatt en Omnik is dat niet het geval’.

Een kwaadwillende kan met standaard inloggegevens vervolgens toegang krijgen tot de omvormer en kan daarmee het IP-adres van de omvormer achterhalen. Kregel: ‘Een groot risico, want met een beetje handige ICT-kennis is het IP-adres van de router te achterhalen. En zodra de router ook niet is beveiligd met een persoonlijke inlog, dan ligt het netwerk bloot.’
Een volgende stap is om de werking van apparaten die gekoppeld zijn aan het netwerk, bijvoorbeeld een beveiligingscamera of een slimme thermostaat, te manipuleren. Of om illegale content up te loaden naar iemands persoonlijke netwerk.

Volgens Domesta, die in de regio Emmen circa 11.000 woningen verhuurt, gaat het in totaal om 150 adressen waar een Hosola omvormer hangt. Kregel: ‘De komende weken gaan door ons ingehuurde installateurs zowel het “accesspoint” als de inlog van de omvormer beveiligen.’

Pladdet heeft na het nieuws contact opgenomen met het Chinese moederbedrijf Hosola New Energy. De fabrikant, die zo’n 10 jaar bestaat, heeft circa 30 omvormermodellen in haar portfolio.
Pladdet: ‘De exemplaren op voorraad hebben inmiddels een sticker met daarop een beveiligingsinstructie voor de installateur. De fabrikant werkt een nieuw model waar bij de installatie het wachtwoord verplicht veranderd moet worden. Na contact met de router zal nu ook het ‘accesspoint’ verdwijnen zoals dat bij andere merken al wel het geval is’. In mei moeten de nieuwe modellen voor de Nederlandse markt beschikbaar komen.

Hoe reageren andere groothandels op het nieuws? Zo is groothandel 4BLUE importeur van omvormermerk Growatt. Directeur Dennis Gieselaar zegt erover: ‘Growatt omvormers zijn standaard voorzien van een wachtwoord die door de eindklant verder gepersonaliseerd kan worden. We drukken onze installateurs op het hart de inlog bij installatie te wijzigen. Die procedure zullen we bij producttrainingen herhalen. Maar ik vind ook dat de eindgebruiker hier zijn verantwoordelijkheid in heeft. Door de komst van nieuwe slimme apparaten in huis is dit een belangrijk thema’.

Natec is importeur van onder meer Omnik. Directeur Bas Engelen zegt: ‘Het probleem waar Hosola nu mee kampt, kwam eerder voor bij oudere modellen van andere fabrikanten. Logischerwijs dient een omvormer direct bij installatie beveiligd te worden, bij voorkeur met de klant erbij. Er zal geen training voorbij gaan waarbij dit voorbeeld niet gebruikt zal gaan worden.’