In de zonnemeters van het Amerikaanse Locus Energy is een beveiligingslek gevonden waardoor een aanvaller de apparaten op afstand kon overnemen of waardes kon aanpassen. De energiemeters gebruiken een php-script om de parameters voor voltagemonitoring en netwerkgegevens te beheren. De PHP-code bleek de informatie die via een POST-request wordt verstuurd niet goed te controleren.

De kwetsbaarheid is gekoppeld aan een standaardwachtwoord dat de energiemeters gebruiken. "Iedereen die het poortnummer kent en de Locus Energy handleiding op YouTube heeft gezien, waarin het standaardwachtwoord wordt genoemd, zou één van deze meters kunnen benaderen", zegt onderzoeker Daniel Reich, ontdekker van het probleem, tegenover ThreatPost. Ook het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid stelt dat de kwetsbaarheid eenvoudig is uit te buiten.

Via het beveiligingslek kan een aanvaller de meetgegevens aanpassen. Ook zou een aanvaller meerdere systemen kunnen hacken om zo de energieniveaus die zonnepanelen aan het elektriciteitsnetwerk rapporteren te spoofen. Verder zouden de energiemeters voor ddos-aanvallen te gebruiken zijn. De onderzoeker schat dat er zo'n 100.000 energiemeters gepatcht moeten worden. Locus Energy heeft inmiddels een update uitgebracht. Om die te installeren moeten gebruikers wel eerst de installatie uit- en aanzetten, aldus het ICS-CERT. De fabrikant stelt dat alleen energiemeters die direct via internet benaderbaar waren risico liepen.