Omvormers zonnepanelen kwetsbaar door gelekt super-adminwachtwoord

Circa 1 miljoen omvormers van zonnepanelen konden gesaboteerd worden vanwege een gelekt super-adminwachtwoord. Daarvan bevinden zich er 42.000 in Nederland. Het betreft apparatuur van fabrikant Solarman. Onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) hebben dit bekendgemaakt.

GitHub-repository

Jelle Ursem van het DIVD ontdekte een GitHub-repository waarin een gebruikersnaam en wachtwoord vermeld stond om in te loggen op het beheerpaneel van Solarman. Hiermee waren de gegevens van duizenden Nederlandse gebruikers in te zien. Met behulp van de wachtwoorden konden klanten aangemaakt worden of verwijderd. Ook was te zien hoeveel stroom werd opgewekt, of de panelen aan internet gekoppeld waren, de GPS-coördinaten en of er storingen in het systeem waren.

Wereldwijde elektriciteitsnetwerk

Tevens was het mogelijk om via het beheerdersaccount malafide firmware naar de omvormers te uploaden. Dat zou volgens het DIVD desastreuze gevolgen kunnen hebben voor het wereldwijde elektriciteitsnetwerk: “Het op tactische tijdstippen uit- en snel weer inschakelen van grote aantallen omvormers zou een klap voor het elektriciteitsnet zijn.”

Klik hier voor het rapport van DIVD.

Aanmelden voor onze nieuwsbrief