logo
wvhj2023
© DIVD
© DIVD
10 augustus 2022

Onderzoekers ‘hacken’ 42.000 Nederlandse installaties met zonnepanelen

Onderzoekers van het Dutch Institute for Vulnerability Disclosure hebben door slechte beveiliging van het monitoringplatform Solarman toegang gekregen tot 42.000 omvormers van zonnepanelen in Nederland.

Solarman is een Chinees bedrijf dat omvormers voor zonnepanelen, dataloggers en batterijen beheert. Het wachtwoord van een zogenaamd Super Admin-account van het bedrijf slingerde rond op het internet en hierdoor waren de zonnepaneelinstallaties die aangesloten zijn op het Solarman-monitoringplatform geruime tijd kwetsbaar voor cyberaanvallen.

GitHub
Getriggerd door een tweet van Célistine Oosting, besloot Jelle Ursem in april 2021 op zoek te gaan naar de mogelijkheid om toegang te krijgen tot klantdata van Solarman. Dat Chinese bedrijf biedt in Nederland onder meer eigenaren van een omvormer van het merk Omnik – deze Chinese fabrikant ging in 2020 failliet – een app aan om de opbrengst van hun zonnepanelen te monitoren.

Ursem vond op GitHub – een onlineplatform voor softwareontwikkeling –  een gebruikersnaam en wachtwoord waarmee hij toegang kreeg tot de portal van Solarman. Het bleek te gaan om een Super Admin-account. Omdat het account geen Multi-Factor Authenticatie (MFA) had – een methode waarbij de onlinegebruiker 2 stappen succesvol moet doorlopen om toegang tot te krijgen – kon Ursem inloggen. De hacker kreeg hierdoor niet alleen de mogelijkheid om gevoelige data van alle klanten van SolarMan in te zien – waaronder gps-coördinaten en de huidige en historische productiedata van de zonnepanelen – maar ook om nieuwe firmware naar alle omvormers te uploaden.

Oude wachtwoord
In het SolarMan-platform staan bijna 1 miljoen zonnepaneelinstallaties geregistreerd met een vermogen van meer dan 10 gigawattpiek. De meeste systemen staan in China en Australië, maar het gaat ook om minimaal 42.000 zonnepaneelinstallaties in Nederland. In de tweede helft van april 2021 wordt SolarMan geïnformeerd over het datalek en wijzigt het bedrijf het wachtwoord. In februari 2022 ontdekt Ursem echter dat het oude account met het betreffende wachtwoord weer opnieuw gebruikt kon worden.

Ursem sloot zich op dat moment aan bij het Dutch Institute for Vulnerability Disclosure (DIVD). Deze vrijwilligersorganisatie zoekt naar kwetsbaarheden in digitale systemen en meldt deze bij organisaties die er wat aan kunnen doen. De DIVD besluit naar aanleiding van de melding van Ursem een case te openen en het Nationaal Cyber Security Centrum (NCSC) – dat onderdeel is van het ministerie van Justitie en Veiligheid – te informeren.

Chinese ambassade
‘Het afsluiten van het account bleek moeilijk’, licht het DIVD toe. ‘De eerste keer reageerde Solarman snel, maar stil. Sterker nog, wij noch het NCSC hebben ooit een reactie van hen gekregen. Het NCSC maakte gebruik van de hulp van de Nederlandse ambassade in China en hoofd onderzoek Victor Gevers bezocht de Chinese ambassade in Den Haag om in contact te komen. Uiteindelijk is het wachtwoord gewijzigd en de repository verwijderd. Vlak daarvoor bevestigde CERT China de ontvangst van de melding aan NCSC.’

Een cybercrimineel met toegang tot dit beheerdersaccount zou volgens het DIVD in theorie firmware kunnen downloaden, wijzigen en deze nieuwe firmware naar deze omvormers kunnen uploaden. Hiermee kan met de omvormers een botnet gevormd worden. ‘Het snel uit- en weer inschakelen van grote aantallen omvormers zou een elektriciteitsnet ernstig verstoren’, aldus het DIVD.

Conferentie
‘Het netto-effect van het verwijderen van de repository en het opnieuw instellen van het wachtwoord is dat het aantal partijen met de mogelijkheid om deze toegang te misbruiken, is teruggebracht van “iedereen die het wachtwoord op GitHub kon vinden” tot de leverancier en zij die de leverancier kunnen controleren’, besluit het DIVD.

Het DIVD heeft de case van SolarMan eind juli gepresenteerd op MCH 2022; een grote conferentie voor hackers in Zeewolde.

Nederlands eerste solardatalek

Een van de eerste grote beveiligingslekken in Nederland met omvormers van zonnepanelen dateert uit 2017.

Woningcorporatie Domesta waarschuwde toen circa 100 huurders in Emmen voor een datalek bij omvormers van het Chinese merk Hosola. Volgens een attente huurder bleek het relatief eenvoudig om via de omvormers in te loggen op onbeveiligde thuisnetwerken en zo privacygevoelige informatie te achterhalen.

De voornaamste les die de betrokken partijen toen trokken, was dat installateurs van zonnepanelen bij de installatie van omvormers meer aandacht moeten besteden aan de veiligheidsrisico’s. Fox-IT, dat onder meer bekend is doordat het de Nederlandse overheid helpt om staatsgeheimen te beveiligen, pleitte destijds voor een veiligheidsnorm voor omvormers van zonnepanelen.

Deel dit artikel:

Nieuwsbrief

Meld u aan voor de nieuwsbrief met het laatste nieuws!
Ja, ik wil de nieuwsbrief ontvangen en heb de privacy policy gelezen.

Laatste Nieuws

Bekijk al het nieuws

Meest gelezen

Producten