Zo'n één miljoen omvormers van zonnepanelen waren door een gelekt super-adminwachtwoord kwetsbaar voor sabotage, zo hebben onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) ontdekt. Tenminste 42.000 van de omvormers van fabrikant Solarman bevinden zich in Nederland.
Solarman levert apparatuur en een platform om de energie opgewekt via lokale zonnepanelen te monitoren en zo mogelijk terug te leveren aan het stroomnet. Onderzoeker Jelle Ursem van het DIVD ontdekte een GitHub-repository met daarin een gebruikersnaam en wachtwoord om als superadmin op het beheerpaneel van Solarman in te loggen. Zo was het mogelijk om gegevens van duizenden Nederlandse gebruikers te zien, zoals namen en adressen.
Met het wachtwoorden konden ook klanten worden aangemaakt en verwijderd en gegevens ingezien, waaronder de hoeveelheid opgewekte stroom, of de panelen aan het internet verbonden waren, of er storingen in het systeem waren en gps-coördinaten.
Via het beheerdersaccount was het ook mogelijk om malafide firmware naar de omvormers te uploaden, wat volgens het DIVD mogelijk desastreuze gevolgen voor het wereldwijde elektriciteitsnetwerk zou kunnen hebben. "Het op tactische tijdstippen uit- en snel weer inschakelen van grote aantallen omvormers zou een klap voor het elektriciteitsnet zijn", aldus de organisatie.
GitHub is een populair platform voor softwareontwikkelaars die daar samen aan projecten kunnen werken. In het geval van Solarman was de repository met software openbaar. Op 5 augustus 2019 werd het super-adminwachtwoord voor de eerste keer toegevoegd. Het DIVD waarschuwde Solarman op 17 april 2021 voor de gevonden inloggegevens, waarna een week later het wachtwoord werd gewijzigd.
Op 3 februari van dit jaar ontdekte Ursem dat het super-adminwachtwoord weer was hersteld naar het oude wachtwoord dat in de GitHub-repository stond. Een aantal dagen later werden Solarman en het National Cyber Security Centrum (NCSC) gewaarschuwd. Het NCSC benaderde zelfs de ambassade in China om de situatie opgelost te krijgen. Het DIVD informeerde op 17 juni het Chinese consulaat in Den Haag waarna er een contact werd gegeven bij het Chinese Computer Network Emergency Response Technical Team. Uiteindelijk werd op 2 juli het super-adminaccount gesloten en de GitHub-respository verwijderd. Het DIVD presenteerde het onderzoek tijdens May Contain Hackers 2022 in Zeewolde.
Deze posting is gelocked. Reageren is niet meer mogelijk.