Beveiligingsonderzoekers hebben tijdens een internationale hackwedstrijd laadpalen van Autel, Grizzl-E, ChargePoint en Phoenix Contact gehackt. Voor de demonstratie ontvingen de onderzoekers tienduizenden dollars. De gebruikte kwetsbaarheden worden nu met de betreffende laadpaalfabrikanten gedeeld, zodat die updates kunnen ontwikkelen.

De demonstraties vonden plaats tijdens Pwn2Own Automotive 2026, dat de komende dagen in Tokio plaatsvindt. Pwn2Own is een bekende, door securitybedrijf ZDI georganiseerde, hackwedstrijd die verschillende edities kent. De Automotive-editie richt zich op allerlei aspecten die met auto's te maken hebben, waaronder infotainmentsystemen en laadpalen. In het geval van de laadpalen moesten onderzoekers aanvallen uitvoeren via communicatieprotocollen en fysieke interfaces die voor gewone gebruikers toegankelijk zijn.

Tijdens de eerste dag van het evenement wisten onderzoekers de Autel MaxiCharger AC Elite Home 40A EV Charger, Grizzl-E Smart 40A, ChargePoint Home Flex en Phoenix Contact Charx SEC-3150 meerdere keren via onbekende kwetsbaarheden te compromitteren. Een aanval op de Emporia Pro Charger Level 2 mislukte. Details over de beveiligingslekken zijn nog niet openbaar gemaakt, behalve dat de onderzoekers hierdoor code op de laadpalen konden uitvoeren.

Fabrikanten zijn over de problemen ingelicht, zodat ze updates kunnen ontwikkelen en aanbieden. De komende dagen staan nog meer hackdemonstraties van laadpalen gepland. Een jaar geleden wisten onderzoekers tijdens Pwn2Own Automotive 2025 ook al laadpalen van de genoemde fabrikanten te hacken.