Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Klantgegevens AEG Industrial Solar staan op slecht beveiligde Chinese server

Persoonlijke data van mogelijk vijftienhonderd Nederlandse gebruikers van AEG Solar-inverters zijn al maandenlang via internet toegankelijk. De gegevens staan op een Chinese server met verouderde en slecht beveiligde software.

Het datalek werd ontdekt door een tweaker die de redactie tipte. Mark Blokker kwam al in november vorig jaar achter het lek en probeerde dat via officiële kanalen van het bedrijf te laten dichten, maar dat is na maanden nog niet gebeurd, ook niet na meldingen van Tweakers.

Het lek zit in inverters van het Duitse bedrijf AEG Industrial Solar. Die worden gebruikt om stroom van zonnepanelen om te zetten in netstroom. AEG heeft zijn inverters niet zelf ontwikkeld, maar gebruikt inverters van het Chinese bedrijf INVT, die het bedrijf zelf rebrand. "Dat doen we omdat de inverters van dit bedrijf nu eenmaal erg goed zijn en weinig verlies kennen bij het omvormen", zegt een woordvoerder van het bedrijf. "Er zijn in Europa vrijwel geen fabrikanten die inverters van deze kwaliteit leveren." Opvallend is echter dat het bedrijf niet alleen dezelfde hardware gebruikt, maar ook dezelfde software. Dat betekent dat gegevens van klanten van AEG Solar op een server in China staan.

Veel van de software die INVT gebruikt, was lange tijd verouderd of onveilig. De server draaide op MySQL 5.6.35, een versie uit 2016 waar bekende kwetsbaarheden in zitten. Ook gebruikte de server geen ssl-verbinding en is op Android te zien hoe de app gebruikmaakt van een oude manier van permissies vragen die al heel lang niet worden gebruikt. Bovendien stonden er op de server zestien poorten open naar internet, waaronder de ftp-poort, waar geen uniek wachtwoord op zat.

Mede door de slechte beveiliging was het mogelijk gegevens van iedere gebruiker op de server te verkrijgen, inclusief gegevens van gebruiker #1, het admin-account, waar bovendien alle andere gebruikers een koppeling mee hebben. Met een simpele HTTP GET-request was het mogelijk gegevens op te vragen. Dat is ook mogelijk via de url, zonder dat daar een limiet of captcha op zat. Deze procedure kon geautomatiseerd worden, zodat de data van alle accounts op de server in één bestand komen te staan. Na meldingen van Tweakers heeft het bedrijf hier maatregelen tegen genomen.

Op deze manier was veel informatie van gebruikers te achterhalen. Het ging om standaardinformatie, zoals de loginnaam en het serienummer of -type van de inverter, maar ook om informatie die klanten zelf kunnen invullen, zoals hun naam, e-mailadres, postcode en huisnummer. Zeker die laatste zijn interessant, want sommige installateurs gebruiken die gegevens als wachtwoord om in te loggen op de portal. Naast het aflezen van informatie was het mogelijk om met een HTTP POST-request de inverter zelfs te manipuleren. Het was dan mogelijk die helemaal uit te schakelen, of de spanning te verhogen of te verlagen.

In totaal zijn op deze manier de gegevens van 19.000 gebruikers te achterhalen. Hoeveel van hen uit Nederland komen, is niet met zekerheid te zeggen, maar er staan wel 1542 records in de database met 'Netherlands' als country ingesteld. "Maar het echte aantal Nederlandse klanten ligt waarschijnlijk zo'n 300 lager. Dat zijn bijvoorbeeld ook testaccounts of dubbelingen", zegt AEG. Het is niet bekend hoe lang de data op deze manier openbaar was, maar volgens AEG zijn er geen signalen dat onbevoegden toegang tot de data hebben gehad. De tweaker die ons tipte, ontdekte het lek al in november 2018. Hij kreeg meerdere malen te horen dat er 'aan een oplossing gewerkt werkt', blijkt ook uit mailwisselingen die Tweakers heeft ingezien. Over die maatregelen kreeg hij echter geen details.

Ook tegen Tweakers bevestigt het bedrijf dat het nog steeds bezig is met het verhelpen van het probleem. Het bedrijf heeft in Duitsland een softwaremaker in de arm genomen om nieuwe software zoals een app te ontwikkelen en om de data te migreren van de server uit China naar een Europese. Dat moet nog gebeuren, zegt het bedrijf. "Het probleem zit in de wifisticks die de inverters gebruiken om met de server te communiceren. Als we alles naar nieuwe servers overzetten, moeten er nieuwe wifisticks komen. Die worden in de komende weken getest in China en daarna geleverd aan onze klanten in Europa." Pas daarna worden gebruikers gemigreerd naar de nieuwe, Europese server. Volgens AEG Solar kan dat tot vier weken duren. Tweakers heeft het bedrijf twee weken de tijd gegeven om te reageren, maar kreeg donderdag te horen dat de migratie alsnog een maand op zich liet wachten. Daarop is besloten te publiceren.

In de tussentijd zijn er wel maatregelen genomen om de beveiliging van de server te verbeteren. De portal om in te loggen is tijdelijk offline gehaald, en wordt daarna voorzien van ssl en nieuwe software op de server. Wel is een ander deel van de server nog onbeveiligd zolang de oude wifisticks daar nog verbinding mee maken.

Door Tijs Hofmans

Redacteur privacy & security

21-06-2019 • 13:00

119 Linkedin Google+

Reacties (119)

Wijzig sortering
Tweakers heeft het bedrijf twee weken de tijd gegeven om te reageren, maar kreeg donderdag te horen dat de migratie alsnog een maand op zich liet wachten. Daarop is besloten te publiceren.

Mooi om te zien hoe een tech community zich hiervoor inzet en als er geen gehoor wordt gegeven, er druk kan worden uitgeoefend. :)
Dit is ook precies wat mijn beweegredenen waren. Na zoveel tijd en valse beloftes verder moest er toch druk gezet worden. Als 1 kritische consument heb je weinig macht jammer genoeg.
Precies dat. Fijn dat je op deze manier ondersteund wordt.

Daarnaast valt me nu in dat toen ik bezig was voor zonnepanelen, ik ook een gesprek heb gehad met een Limburgs bedrijf (ik zal geen namen noemen) wat ook dit AEG Industrial Solar materiaal gebruikt, waar ik gevraagd heb of mijn data in Nederland/Europa blijft en hoe deze opgeslagen wordt. Mij werd verzekerd dat deze in Duitsland bleef. Ik zal mijn part ook bijdragen en dit bedrijf op de hoogte stellen.. Zo zie je ook maar weer hoe vaak die sales lui amper weten hoe de vork in de steel zit. Weten dat het slecht beveiligd is tot daar aan toe, maar men had dus wel moeten weten dat de data dus klakkeloos naar China gesynchroniseerd wordt.
Vanaf mijn kant zijn ook de installateur en groothandel op de hoogte gesteld. Het werkt alleen niet mee dat AEG Industrial Solar volhoud dat ze de veiligheid van je data waarborgen en dat ze voldoen aan de privacy wetgevingen. Dit hebben ze me verzekerd per mail. Maar dit kunnen ze onmogelijk doen als die servers in China staan en niet eens van hun zelf zijn.
Die garanties kunnen ze geven als het Chinese bedrijf die garanties geeft. Maar Chinezen garanderen alles zolang je maar blijft betalen. In een land waar zuivelbedrijven zelfs gif door de melk mengen om een paar centen op de melk te besparen kun je niet verwachten dat garanties meer dan een krabbel op een stuk papier zijn.
Zeker, dank aan @Ad-Blokker voor het doorgeven! We proberen daar altijd voorzichtig mee om te gaan maar in gevallen als deze heb je helaas weinig keus dan uiteindelijk toch te publiceren
Growatt heeft het zelfde probleem met hun systemen, vorig jaar al een keer bij jullie gemeld. Tot op heden door Growatt ook nog niks mee gedaan.
Als ik even snel bij Growatt kijk zie ik ook een aantal interessante dingen die fout gaan. Ik denk dat je hier ook een boek over kan schrijven.
Ik heb dit ook al een aantal keer bij Growatt aangegeven. Ze geloofde me in eerste instantie niet, daarna instructies opgestuurd maar daar werd niks mee gedaan. Nog eens gebeld, toen afgesproken dat ik een video zou maken. Ik heb toen een video gemaakt met een stuk of 3 bevindingen waaronder het overnemen van een installatie van random personen (waarna je dus ook instellingen van de omvormer kunt aanpassen), het opvragen van NAW, telefoongegevens etc. Maar na meerdere keren om een reactie gevraagd te hebben nog steeds niks gehoord.

Net even een mail gestuurd met dit artikel en de vermelding dat als ze er niks aan doen, ze het risico lopen dat ze op deze manier in het nieuws komen.

Volgens mij interesseert het ze helemaal niks.

[Reactie gewijzigd door masterbass op 21 juni 2019 16:19]

Ik heb een groot rapport gemaakt met alles in detail en ook kort uitgelegd en je ziet het ook daarop komt geen snelle actie. Ik heb het al eerder gezegd, in je eentje als consument sta je meestal machteloos tegen dit soort bedrijven. En dan is het nog lastiger als het geen Nederlands bedrijf is.

Het is wel altijd belangrijk om een responsible disclosure te doen naar het bedrijf toe. Hierdoor dek je jezelf ook in.

Ik heb growatt en anderen al meerdere keren gehoord nu in de comments en privé berichten dus ik wordt nu ook nieuwsgierig ;)
DM me even of mail naar tijs@tweakers.net, kan er altijd naar kijken!
Oe, graag een artikel van maken, ik zal zelf ook ff wat onderzoek gaan plegen, heb zo'n ding ook hangen :)
Dat was het eerste dat ik me afvroeg toen ik dit artikel las. Ik heb al veiligheidshalve een bedrade internetverbinding aan mijn Growatt inverter zitten, zodat het makkelijker is om deze op een apart netwerksegment te zetten. Dat scheelt al in de toegang tot andere apparaten op hetzelfde netwerk.
Uiteindelijk wil ik de RS-485 poort gebruiken om zelf de data uit de inverter te halen en te bewaren. Dan kan de directe link met het internet en de Chinese server helemaal weg. Wel zo een fijn idee.
Oh dat is wel goed om te weten.. zal daar zelf idd ook maar eens wat achteraan gaan dan :/
Ter informatie, ik heb dit zelf uitgezocht en toen ben ik met het volledige rapport na maanden dat er niks gedaan werd naar Tweakers gestapt. Hierna is door @Tijs Hofmans verder contact opgenomen met het bedrijf in kwestie en daarna is dit artikel gemaakt
Maar dan nog is er geen sprake van een "community".
Je kan het niet geheim houden en dan ons "de community" gebruiken als straf maatregel......
Wil je ons erbij betrekken dan kom je vanaf dag 1 met alles.
Nu zijn wij letterlijk niks anders als een geïnformeerde partij die nergens vanaf wist. Ignorance is bliss I guess.
Ik snap wat je zegt. Echter heb ik wel op vrijdag 24 mei 2019 op het Tweakers forum (https://gathering.tweakers.net/) een post geplaatst ;)
Hiervoor lag het eigenlijk bij AEG Industrial Solar en was ik met andere dingen bezig. Ik ben de laatste maand pas weer echt actief er mee bezig gegaan maar daarvoor heb ik ze wel elke keer reminders gestuurd. Het probleem alleen is als ik alle details over alles ga geven, dan kan elke persoon zonder moeite data gaan lekken in dit systeem. Dit is ook waarom er ook nog niet gelinkt wordt naar mijn volledige rapport
Begrijp me niet verkeerd. Je bent zeker goed bezig. Ik geef alleen aan dat RVS hierboven absoluut een punt heeft.
Het is eerder grappig om te zien dat er zoveel personen hem/haar een -1 geven omdat zij met jouw eer ervandoor willen gaan.
Bedankt dat je het voor me op wilt nemen. Zoiets overkomt me niet vaak.

Ik snap ook niet wat er aan mijn vraag zo ongewenst is. Eigenlijk boeit het ook heel weinig wat andere mensen ervan vinden, want ik stel de vraag aan @Furr_xL die naar mijn inziens incorrect stelde "Dankzij de tech community..."

Stel als @Ad-Blokker trouwe lezer was van de Telegraaf en hij ermee naar de Telegraaf was gegaan, konden dan Telegraaf-lezers dan op hun borst kloppen van dat ze dit aankaarten? Nee, natuurlijk niet.

[Reactie gewijzigd door RoestVrijStaal op 21 juni 2019 21:42]

Tja ik waardeer een kritisch kijk op zaken ipv dat ik als een schaap achter de kudde aanloop, zonder na te denken waar men mee bezig is.
Ik geef dan ook veel liever wat tegengas dan dat ik stiekem in de achtergrond een plus of minnetje geef omdat ik mij "gekwetst" voel.
Het is net alsof je een apple fanaat perongeluk heb beledigd en er komt gelijk 30 man dat -1 knopje bashen.
Gewoon walgelijk.
@RoestVrijStaal & @Caelestis Een kritische blik is altijd goed. Dat heb ik zelf ook, door die blik heb ik ook dit allemaal gevonden in deze enorm diepe rabbit hole. Alleen de bedrijven hier in kwestie waren natuurlijk niet zo blij met mijn soms TE kritische blik.

Ik wil ook echt niet +1/+2/+3 krijgen omdat ik toevallig de tipgever ben maar om de mijn getypde reactie zelf.

Misschien kunnen we als community de portals en toebehoren van andere fabrikanten en leveranciers gaan controleren op fouten en dan kunnen we elkaar van de gevonden bevindingen op een forum op de hoogte stellen. Ik heb er al meerdere in dezelfde en minder erge vormen voorbij zien komen in de reacties. Lijkt mij in ieder geval interessant omdat er meerdere mensen ook kritisch werden op hun desbetreffende omvormer. Hoogstwaarschijnlijk is dit niet eens jullie bedoeling hiermee en ben ik te ambitieus maar ik zie er wel wat in. :)
Ik doel daarmee meer op hoe ik Tweakers zie, als een tech community. En dankzij de mogelijkheden van Tweakers heeft Ad-Blokker nu wat hij hoopte te krijgen: aandacht voor zijn ontdekking. Ik zie het niet als een partij die nu met de eer wilt gaan strijken. Het is eerder zo dat Tijs ondersteuning heeft kunnen bieden aan Ad omdat hij als individu niet erdoor kwam. Let vooral niet op mijn benoeming voor tweakers, dat staat eigenlijk min of meer los ervan.
Ik vind het helemaal niet mooi om te zien. Publiekelijk bekend maken van dergelijke zaken moet het allerlaatste middel zijn. Wat Tweakers doet is kwaadwillende een mooie kans geven om toe te slaan.
Ik denk dat dit de juiste stap is als laatste stap in het rijtje na het verzenden van e-mails, brieven, telefoontjes, enzv. Kwaadwillenden komen er uiteindelijk toch achter, net zoals Ad-Blokker erop is gestuit. Dan maar even publiekelijk en aan de schandpaal zodat ze onder druk worden gezet, het gaat hier wel om veel Europese consumenten die de dupe zijn van dit soort praktijken.
@Ad-Blokker Ook ik heb AEG panelen en idem omvormer (AS-IR01). De installatie liep bij mij ook moeizaam en de installateur kreeg e.e.a. ook slecht voor elkaar.

Het systeem bestaat uit een wifistick en een app. De app maakt dan via het netwerk waar de stick op is aangemeld verbinding met de omvormer en leest deze uit. De stick wordt initieel op het netwerk aangemeld door eerst als AP te fungeren waarbij via de app de stick op een netwerk wordt aangemeld. Hierbij viel al direct de matige menu's en AEG labels op. Nadat de stick op het netwerk is aangemeld kan je OF remote OF local kiezen. Local werkte wel, maar probleem is dat de omvormer alleen de data opslaat sinds laatste startup , dus maar 1 dag aan info. Remote weigerde te werken. In het begin dacht men dat het aan de WIFI stick zou liggen ivm. slecht bereik op de zolder. Ik heb uiteindelijk een ethernet stick gekregen, maar in feite veranderde dit niets. Zelfs de menu's hadden nog alle WIFI opties, wat ook al niet echt goed aanvoelt. Lokaal kon ik de omvormer wel uitlezen met de (Zeer matige) app die 'local monitoring' ondersteund.

Heel deze ervaring was zoals gezegd niet best en ben ik ook gaan zoeken naar hoe het systeem exact werkt. Via het IP wat de stick probeert te bereiken er ook achter gekomen dat het een gerebrande INVT inverter is en dat de portal in zijn geheel in china draait. Ik ben toen ook in contact geweest met AEG waarde enige mails volgde die beloofde dat er contact met me werd opgezocht om 1) de zaak aan de praat te krijgen en 2) om samen te werken om het nieuwe product op de markt samen te verbeteren.

Uiteindelijk is via een aeg persoon de remote monitoring wel aan de praat gekregen (euvel was een casing issue in de key/sticker op de stick). Maar gezien de site en de chinese data leek mij het geen goed fijn idee om dit te gebruiken en dit heb ik dan ook uitgeschakeld. Na nog een paar email wisselingen en een beloofd contact met de Nederlandse importeur bleef het vanuit AEG stil (jammer want men beloofde wel een samenwerking wat ik nog wel als positief zag).

Echter ben ik zelf aan de slag gegaan met local monitoring. In deze modus werkt de inverter als een modbus server. Je kan dus prima met netwerk sniffing achterhalen wat voor commando's je moet sturen om responses te krijgen. Na deze wat te parsen heb je goede info die ik nu naar pvoutput stuur (https://pvoutput.org/intr...706&sid=62814&dt=20190622) . Ik draai mijn 'software' nu op een raspberry in nodered. Voor mensen die het leuk vinden; ik heb de code op github geplaatst. Ik heb geen tijd gehad voor een step-by-step instructie maar als je node-red een beetje kent moet je eruit komen. Enige vereiste is een platofrm in het netwerk van de inverter, node-red daarop en een pvoutput-account. Ik heb ook een node-red dashboard erin gezet voor lokaal een beeld op telefoon oid. Script is hier te vinden; https://github.com/mlooise/aeg-inverter-monitor Voor mij werkt het naar wens op deze manier en de omvormer doet goed zijn werk.
Bedankt voor deze uitgebreide reactie. Ze hebben van vele mensen blijkbaar meldingen gekregen en er niks aan gedaan totdat Tweakers actie ondernam.

Ik ga zo snel mogelijk even je GitHub code testen! Alvast bedankt!
Het is angstig stil rond de monitoring app van AEG. We zijn al weer een paar weken verder.

[Reactie gewijzigd door cascul op 5 juli 2019 20:48]

Mooi zeg! Ik ga er mee spelen! Weet je toevallig een handige docker instance waar de basis al werkt?
Misschien dat Tweakers mij ook even een berichtje kan sturen... Ik ken nog een vestiging van een gerenommeerde hotelketen waar alles op tafel ligt, varierend van toegang tot een applicatie waarin alle klantgegevens staan tot de sleutelnummers die toegang geven tot de achterdeur.

Edit. Ze hebben het eindelijk opgelost zie ik. Man man man, prutsers.
Als je in de toekomst een datalek tegenkomt (en als je bij het bedrijf geen antwoord krijgt) dan kun je me altijd dm'en!
Maar voor het melden van Datalekken is er toch al een meldpunt? Is het dan niet verstandiger om het daar te melden?
De Autoriteit Persoonsgegevens bedoel je? Dat is zeker een optie. Of er dan ook wat aan gedaan wordt is maar wel de vraag...
Ho wacht even. AP is wettelijk verplicht elke klacht in behandeling te nemen, en dat doen ze ook. Duurt alleen errug lang voordat je reactie krijgt (per post), maar je krijgt het (dat ze de klacht in behandeling hebben genomen).

Geen gefundeerde uitspaak dus.
Ok fair enough, ja er 'wordt wat aan gedaan', maar of dat in de praktijk ook echt iets toevoegt is een ander verhaal. Duurt weken, zo niet maanden, en de AP heeft simpelweg niet de middelen om het resultaat te bereiken dat media wel kunnen. Als we dit voorbeeld mogen nemen: @Ad-Blokker deed een AP-melding en daar gebeurde vooralsnog niks mee. Maar toen ik namens Tweakers contact opnam werd er redelijk snel actie ondernomen door het bedrijf. Dus tsja, de AP neemt het in behandeling, maar je kunt ook vinden dat dat weinig effect heeft.
Niet melden heeft een averechts effect. Kijk naar de cijfers van de politie. Alles gaat goed. Nee, niet alles gaat goed, maar de mensen melden niets meer, omdat er toch niets aan gedaan wordt.

Maar hoofdlijn is, cijfers (lage aantal meldingen), geven aan dat alles goed gaat, dus er is niet meer budget nodig.

Tweakers zou minstens moeten benadrukken hoe belangrijk het melden bij de instanties is. Want één ding is in Nederland zeker, alles wordt geregistreerd en gemeld. En als er afwijkingen zijn (recent in het nieuws de misdaadcijfers van asielzoekers, grote post 'overig'), dan valt dat op en wordt wat mee gedaan.
Hier heb ik het ook heel snel aan aangemeld. Ze hebben het na maanden wachten nog steeds niet in behandeling genomen. Ze moeten hem wel in behandeling nemen want dat is de belofte die ze maken. Maar ze geven al tijden mee dat het enorm druk is en dat ze onderbezetting hebben en dat daardoor meldingen bij de AP enorme vertragingen oplopen.
Wat Ad-Blokker al zegt... Ik heb er al wel eens iets neergelegd, maar er wordt niet veel mee gedaan. Maar goed, we weten wie er aan het hoofd staat bij de Autoriteit Persoonsgegevens, dus dat zou je ook niet moeten verbazen.
Waarom hebben deze inverters een internetverbinding?
Welkom in het IoT tijdperk. Ze vonden het een noodzaak om mensen de opbrengsten en andere dingen te laten aflezen vanaf verschillende devices. Dit ook mede omdat als er geen zon meer is de inverter uit gaat en je niet meer kan zien wat er opgebracht is. Dit is waarom ze alles zo graag in de cloud willen proppen.

[Reactie gewijzigd door Ad-Blokker op 21 juni 2019 13:20]

Zodat je de statistieken kan uitlezen.

Wij hebben zelf zonnepanelen en helaas moeten wij, om ze uit te kunnen lezen, de omvormer aan het internet hangen. Lokaal uitlezen is bij ons niet mogelijk 8)7

Lang leve de moderne wereld waar alles aan het internet moet zitten :X

[Reactie gewijzigd door Caayn op 21 juni 2019 13:09]

Daarom ben ik blij dat ik mijn omvormers ( 9 stuks totaal, aantal samengevoegd tot 1 ) lokaal kan uitlezen en daar lokaal statistieken van kan maken ( http://trinity.familie-kleinman.nl/v2 ). Kostte wat moeite om uit te zoeken en te programmeren, maar dan heb je wel wat :)

jSunnyreports leest lokaal de verschillende omvormerbestanden in, verwerkt die informatie en maakt daar JSON bestanden van die door de frontend kunnen worden ingelezen. Deze kan je lokaal openen maar ook uploaden naar een eigen website. Op dit manier ben je min of meer zelf in control over je eigen data. Ik ben er persoonlijk niet zo'n fan van om omvormers te koppelen aan de cloud van de leverancier. En dit artikel onderstreept dit nog maar eens.

Ik ben dus auteur van jSunnyreports. Begonnen als hobby om twee omvormers in een overzicht te krijgen, dat is intussen uitgegroeid tot een hele waslijst aan logfiles die het programma kan verwerken. Het enige wat JSR niet zelf doet is het uitlezen van de omvormer zelf.

En mochten liefhebbers het voor elkaar krijgen om bijvoorbeeld SolarEdge., AEG of andere merken omvormers te kunnen uitlezen en te kunnen loggen, ik pas mijn tool met alle liefde aan :)
Daarom ben ik blij dat ik mijn omvormers ( 9 stuks totaal, aantal samengevoegd tot 1 ) lokaal kan uitlezen en daar lokaal statistieken van kan maken ( http://trinity.familie-kleinman.nl/v2 ). Kostte wat moeite om uit te zoeken en te programmeren, maar dan heb je wel wat :)
Niet om lullig te doen maar blij zijn dat je data lokaal afgelezen kan worden en het dan zelf in de cloud gooien lijkt toch wat dubbelzinnig.
Dan is het een eigen keuze. Ik heb er voor gekozen om mijn data inderdaad publiek toegankelijk te maken op een eigen server. Dat hoeft dus niet met JSR. Dan is en blijft alle data van je zelf en bij je zelf.

En daarbij JSR heeft geen "cloud" omgeving oid. Je kan in JSR een FTP account/locatie instellen waar hij de bestanden naar upload.

[Reactie gewijzigd door mkleinman op 21 juni 2019 13:43]

Waarom kunnen wij erbij dan? Dat moet je toch niet willen?
Je ziet alleen de opwek van mijn zonnepanelen, niet wat ik verbruik, of ik wel of niet thuis ben etc. Dus waarom zouden andere mensen dit niet mogen zien?

Ik log daarnaast nog veel meer in huis ( temperaturen, verbruik, %RV etc etc ). Die heb ik uiteraard wel afgeschermd omdat je daar wel veel van kan afleiden.

[Reactie gewijzigd door mkleinman op 21 juni 2019 18:41]

Ik heb zelf ook al onderzocht of je data kan afvangen en het zelf kan verwerken. Het probleem zit hem in dat de omvormer wifi stick hardcoded het ip van de chinese server in de firmware heeft staan. Zolang deze geen connectie kan maken met de server stuurt de omvormer niks.

Ik ben altijd bereid om samen even te kijken of er toch wat te regelen valt! Ik zal je een prive bericht sturen :)
Lijkt me niet al te lastig om lokaal dat IP adres te laten routeren naar een interne server. Wat voor protocol babbelt de wifi stick naar de server? Ik zal straks even Wireshark draaien in mijn LAN en het externe IP uitfilteren. Daarna m'n Ubiquity edgerouter alle pakketjes naar 'Chinees IP' laten forwarden naar lokale listener. Zoiets moet werken toch?
Als de data via de cloud te raadplegen is, kun je dit lokaal ook onderscheppen uitlezen. Misschien niet volgens de officiële documentatie, maar dit kan nagenoeg altijd. Voor SolarEdge is er bv een eigen topic hier op het forum.
Edit: bewoordingen wat genuanceerd.

[Reactie gewijzigd door teaser op 21 juni 2019 14:17]

dat hoeft niet perse te kunnen. Als SSL (goed) gebruikt wordt, heb je niks aan de onderschepte data.
Vanuit het topic:
Zoals in sectie 2 al is uitgelegd, staat bij nieuw geïnstalleerde omvormers de encryptie standaard uit. Ergens in de eerste 48 uur dat de omvormer contact heeft met de servers van SolarEdge wordt de beveiligingssleutel uitgewisseld en direct daarna wordt de versleuteling aangezet.
Een plan B is om via RS232 de encryptiesleutel uit te lezen.
ook dat hoeft niet perse te kunnen. RS232 hoeft niet eens aanwezig te zijn. Even voor de duidelijkheid: specifiek op de SolarEdge wel. Maar jij stelde dat alles wat via de cloud te raadplegen is ook lokaal uitgelezen kan worden. En dat is niet (altijd) zo.
Goed, in theorie heb je gelijk :)
Maar in praktijk blijkt er toch altijd een manier te zijn.
Ik heb naast de SE nog zo'n toestel dat je aan het internet 'moet' hangen om dan via een app ermee te interfacen. Ook netjes met SSL. Maar er is toch mogelijk om er lokaal een beveiligde verbinding mee op te zetten. Dus in dit geval gaat het niet eens over 'onderscheppen'.
Daar moet je van tevoren over nadenken natuurlijk. Ik heb de inverter er op uitgezocht dat je zelf gegevens uit kan lezen. Al is het niet ondersteund door de fabrikant, het werkt wel. Al die cloud services kunnen me gestolen worden, ik monitor het liever zelf.
De omvormer kwam met het huis mee. We hadden dus niet veel te kiezen. En een andere ophangen is een dure grap.
Lokaal uitlezen is bij ons niet mogelijk 8)7

Is de betere oplossing dan niet gewoon een componentje ertussen wat de geproduceerde stroom meet?

Of wil je graag lekker veel Tweakers statistieken 8-)

(Geen kritiek, maar persoonlijk zou ik die statistieken dan gewoon laten voor wat ze zijn en de omvormer gewoon laten doen wat hij doet zonder toezicht.)
(Geen kritiek, maar persoonlijk zou ik die statistieken dan gewoon laten voor wat ze zijn en de omvormer gewoon laten doen wat hij doet zonder toezicht.)
Ik in eerste instantie ook. Echter. Onze omvormer is een keertje stuk geweest waardoor we een tijd niks hadden opgewekt zonder dat we het door hadden. Sindsdien is de omvormer aangesloten zodat we de gegevens kunnen uitlezen.

Je houdt zo de performance bij van de panelen, hoeveel wek op je. Klopt dit met wat je verwacht? Etc.
Tegenwoordig erg gebruikelijk om te showen hoe geweldig goed je voor het milieu bent.

Ik weet van een bedrijf die 24/7 in de hal een scherm aan had staan om te laten zien hoeveel stroom de zonnepanelen op het dak produceren in real time + een overzicht van de geschiedenis (daar kon je dus meteen al ~100W vanaf trekken voor het vrij grote scherm en de computer om dat ding aan te sturen).

Een internetverbinding is overigens wel erg makkelijk voor de gemiddelde consument. Dan hoef je niet te hannesen met LAN-instellingen en dergelijke als je het lokaal wilt uitlezen, en kan je de energieproductie altijd gedetailleerd uitlezen.
Een internetverbinding is overigens wel erg makkelijk voor de gemiddelde consument. Dan hoef je niet te hannesen met LAN-instellingen en dergelijke als je het lokaal wilt uitlezen, en kan je de energieproductie altijd gedetailleerd uitlezen.
De gemiddelde consument kan helaas ook niet zo gemakkelijk controleren of die automatisch ingestelde LAN eigenlijk wel veilig is. Onze verhuurder regelde dit ook allemaal voor mij zodat ik niks hoefde te doen. Maar ik ben toch blij dat ik achteraf zelf wat default-passwords heb veranderd van het openbare wifi wat de geinstalleerde inverter uitzendt, anders had je met een laptopje op straat met voltages kunnen morrelen. :X Doe een gok uit welk land de desbetreffende inverter kwam. :+

Toen ik de installateur verbaasd vroeg of dat wachtwoord niet even veranderd moest worden reageerde hij met "oh, ja. Dat zou je kunnen doen, ja". Toen ik vroeg of iemand op dat netwerk geen kwaad kon antwoorde hij "neuh, daar staat verder niks". Ik weet d'r weinig van, maar je kan in ieder geval die hele inverter uitzetten, en ook wat rommelen met voltages (?). Geen idee of je daar zelfs fysieke schade mee kunt veroorzaken, maar de installateur heeft me niet echt overtuigd.

[Reactie gewijzigd door bwerg op 21 juni 2019 14:32]

Station Amersfoort heeft ook zo'n ding hangen ja
Maar dat is geen TV scherm, dat zijn een paar LCD schermpjes en een PC die het eea. uitleest. Dan heb ik er wat minder moeite mee dan een 152 inch LCD TV..
Liever eenmalig een beetje hannesen dan je volledige gegevens voor iedereen toegankelijk op internet.
Waar ik behoorlijk van schrok is het feit dat er instellingen te wijzigen zijn, zou je daar remote een brand mee kunnen veroorzaken?
" (daar kon je dus meteen al ~100W vanaf trekken voor het vrij grote scherm en de computer om dat ding aan te sturen)."

Haha, prachtig. Alles voor een mooi plaatje naar de buitenwereld nietwaar. 24/7 pc met groot scherm aangooien om te laten zien hoe goed je wel niet bezig bent met energie.

Gewoon niet begrepen dus.
Gewoon niet begrepen dus.

Of juist wel, want volgens mij zijn zonnepanelen vooral:

1) een middel om aan de EPC/BENG normen te voldoen bij nieuwbouw
2) hobby voor Tweakers (en niet cynisch bedoeld, het is ook oprecht leuk)
3) laten zien hoe groen je bent tov je klanten/gemeente/etc - ofwel PR
4) geld besparen

En optie 4 is vaak twijfelachtig voor non-particulieren, als je ook installatie, verzekering, onderhoud, reparaties, hogere kosten bij ongerelateerde dakreparatie, etc meetelt. Zonder een zak subsidie als bedrijf is het vaak niet kosteneffectief.
Cloud-service hoofdzakelijk.
Die kun je toch ook lokaal opzetten op je NAS?
Je kan jammer genoeg niet makkelijk zelf een server opzetten om lokaal alles te draaien. Het IP adres van de server is hardcoded in de wifi stick van de omvormer ingebakken.
Als je het ip blokt zodat er geen info naar toe kan, werken de inverters dan nog?
De omvormer werkt dan gewoon nog qua stroom omzetten natuurlijk. Dit is hetzelfde als wanneer je hem zoals ik niet aan je wifi netwerk heb gekoppeld. Je kan alleen niks uitlezen omdat hij weigert om data te sturen. De enige optie dan is local monitoring. Hij zend zodra je hem niet verbonden hebt met een wifi netwerk zelf een wifi netwerk uit. Daarmee kan je verbinden en met de app via een omweg wel data uitlezen. Alleen je moet dan elke keer voor het donker wordt de stand noteren in bijv. excel want zodra er geen zon meer is dan kan je het niet meer inzien. Ook is de volgende dag de data weer weg.
Kun je de data via een of andere API uitlezen? Anders wellicht een idee om een RPi met WiFi-stick neer te zetten om je data elke dag uit te lezen?
Ik ben hiermee bezig geweest, dit is een deel waar ik nog niet veel ervaring in heb. Het is namelijk ook erg lastig om uit te vissen wat die wifi stick allemaal doet. Zolang hij in Access Point modus zit doet hij namelijk niet veel (DNS requests en niet veel meer buiten dat, en natuurlijk probeert hij verbinding te zoeken met de webserver in China). Ik kan met de huidige routers en modem die ik heb hem niet volledig afzonderen van mijn overige spullen op het netwerk. Anders had ik dit makkelijker kunnen testen.
Wat als je hem niet aan je netwerk koppelt, maar gewoon zelf een WiFi netwerk laat uitzenden? Dat is wat ik bedoelde. En dan de RPi rechtstreeks verbinden met je inverter.
Dat is een idee, ga ik morgen even proberen!
Hij zend zodra je hem niet verbonden hebt met een wifi netwerk zelf een wifi netwerk uit.
Sommige merken blijven ook na verbinden gewoon uitzenden. Dat vereist dan nog wat extra aandacht om te controleren of dat geen gaten in je eigen wifi-netwerk veroorzaakt.
Dat is dan gebrek aan flexibiliteit van de omvormer-aanbieder.
Behoorlijke design fout. Maar dat is achteraf altijd....
als je die hebt. En snapt. En ondersteund wordt.
om statistieken naar de cloud te publiceren zodat eigenaren via een app kunnen zien wat de prestaties zijn.
Inderdaad, ik vind dat nog steeds ongehoord dat deze apparaten met internet verbonden zijn.
Een smartphone app en/of een web interface die via je eigen wifi netwerk uit te lezen is moet voldoende zijn.

De IT industrie heeft de mond vol van veiligheid, maar dezelfde IT industrie verbindt alles met internet met als gevolg het ene datalek na het andere.
Zoiets als boter en hoofd.
Lol. AEG als duits top merk bestaat inds 1996 al niet meer. Als ik het goed heb is het merk en veel van zijn activiteiten bij Chinese bedrijven ondergebracht. Veel Chinese bedrijven hebben "oude" duitse merken gekocht om hun spullen in Europa te rebranden en hier te verkopen als Deutsche grundlichkeit
AEG valt onder AB Electrolux (publ), Alleen heeft AEG industrial Solar alleen de naam AEG als licentie afgekocht. Ze hebben verder niks te maken met AEG en of Electrolux
Vergelijkbaar met Philips en TP Vision.
Net zoals Grundig, vroeger een prima merk, in 2003 failliet gegaan, nu 1e klas Chinese troep
Had dat ff gemist, maar toen ik het laatst bij de action zag liggen kreeg ik al zo'n vermoeden...
Dat zie je wel meer. Of zoals bijvoorbeeld Miele tegenwoordig doet, higher end zelf bouwen en het goedkopere segment word onder licentie door een of andere chinees gebouwd.
Heb je toevallig een bron oid?
Toevallig al op hun website gekeken?
© 2019 Solar Solutions GmbH | AEG is a registered trademark used under license from AB Electrolux (publ).
Toevallig al op hun website gekeken?
Ja dat wel, maar op basis daarvan had ik niet gelijk geconcludeerd dat het in Chinese handen zou zijn. Ik was even benieuwd of er een ietwat makkelijkere manier was om dit uit te vinden/controleren. Met name voor toekomstige gevallen. Even wiki eigenaars doorklikken lukte ook niet want ik kon alleen de wiki pagina vinden van AEG zelf en AEG Industrial Solar zit gewoon in Frankfurt.

edit: even tikfoutje eruit gehaald

[Reactie gewijzigd door MauriceL op 21 juni 2019 15:26]

[...]
AEG Industrial Solar zit gewoon in Frankfurt.
Inderdaad: volgens Google maps ligt hier hun hoofdkwartier:
https://www.google.com/ma...gx_FHg!2e0!7i13312!8i6656

Daar zit zeker ergens een ganse fabriek achter waar ze die Duitse panelen maken.

Ze hebben tenminste nog een vacature op hun website staan voor een sales functie in Frankfurt, dus ze zijn al niet helemaal Chinees :) .
...een sales functie in Frankfurt, dus ze zijn al niet helemaal Chinees :) .
Totdat het sollicitatiegesprek in het Chinees gaat.
Naja ik heb met ze contact gehad en ik heb ze toevallig getipt ;)
Er komt deze maand een nieuwe app uit met nieuwe backend. Ik heb deze ook en kreeg 1,5 maand geleden mail over vernieuwingen.
Dit beloven ze mij ook al sinds november vorig jaar november. Deze release datum is al zo vaak doorgeschoven
Ze zeiden aanvankelijk dat die 'eind mei' zou uitkomen, maar nu dat ze 'binnenkort' beginnen met de uitrol van alpha-versie. Ik moet het dus nog maar zien...
Waarom toch telkens wifi? het ding hangt daar en *blijft* er hangen, had toch óók een rj-45 aansluiting op zijn minst aangeboden...
zo worden de omvormers doorgaans vlak bij het dak gemonteerd en modems hedendaags vaak gelijkvloers...

"lekker makkelijk" zal het argument wel blijken te zijn...
Wat lekker makkelijk is, is als het een 4-verdiepingen hoog pand telt met de modem op begaane grond... kan de eigenaar als het even tegen zit niet bij zijn eigen panelen, maar iedere vreemde vanaf de 2 hoogste verdiepingen weer wel...

Is het alleen mijn opvatting of lijkt het als we heel eerlijk zijn alsof er niet heel goed over nagedacht is bij dat soort beslissingen? Het enkel integreren van WIFI geeft mij vooral een vermoeden naar pure gemakzucht en het integreren van onnodige zwakheden in een vast systeem... of is dat wel heel zwart-wit?
Heeft allemaal niks met Wifi te maken. In het software gedeelte van de wifi stack is het IP adres van de chinese server hardcoded. Dat hadden ze ongetwijfeld bij een bedrade NIC ook gedaan. Overigens hangt deze inverter gewoon binnen (want niet IP69) dus je kan er prima bij. Was wel het eerste wat ik aan de monteur vroeg: kan het ook bedraad? |:(
Ja ik wou ook eigenlijk vooral insteken op dat, voor zover ik ze tegen kom, mij dus opviel dat er altijd een wifi verbinding is;de eerste met standaard rj45 moet ik nog tegen komen... al heb ik zelf geen eigen dak (appartement op tussenvloer) en zelf er verder ook niet op georienteerd is dit wel wat mij opvalt wanneer ik het bij vrienden zie.

Bij een bedrade NIC had het (vind ik) nog enigzins kunnen schelen in dat je een stuk makkelijker invloed uitoefent op die bedrade situatie dan een Wifi-apparaat wat vervolgens ook nog hardcoded adressen aanspreekt; je zou dan nog een redelijke optie hebben om het apparaat op een eigen stuk netwerk/filtering te gooien, bij de WIFI-situatie ga je dan extra SSID's en/of AP's moeten plaatsen.
Was wel het eerste wat ik aan de monteur vroeg: kan het ook bedraad? |:(

Dit is ook het eerste wat ik vroeg ;)
Er is ook een optie met RJ45 maar dat lost dit probleem aan de achterkant van de infrastructuur niet op.
Die wifi stick is zegmaar een module die aan een seriele poort aangesloten wordt op de omvormer. Er zijn ook zoals hierboven genoemd een RJ45 module en GPRS (sim) module gemaakt. De standaard uitvoering is wifi. Ik had zelf ook gevraagd of ik de RJ45 module kon krijgen maar die was niet leverbaar.
Het is waar dat het het probleem niet oplost, toch heb ik het idee dat de standaard-integratie van wifi over rj-45 onnodig extra zwakheden met zich mee brengt voor een apparaat wat toch vast geinstalleerd zal zijn.

zegmaar, ik had het logischer gevonden als die wifi-stick een of andere module had geweest dan de rj45-poort. ook RS232 als standaard en eindgebruiker zet daar zelf een rj-45 of wifi-module tussen had m.i. stukken beter kunnen zijn; ik snap gewoon niet hoe dat zo ontstaan is :)
Dat is altijd een goeie vraag. Er is hier blijkbaar gekozen voor RS485 poort met daarop verschillende modules. Maar aan de andere kant kunnen ze nu wel makkelijker een nieuwe stick ontwikkelen, je hoeft namelijk alleen dat ding los te schroeven en de nieuwe erop ;)
Dat klinkt naar mij alsof er in ieder geval een vorm van vooruitgang is :) op zich positief!
Ik ben er wel voorzichtig mee, ze beloven al tijden vooruitgang. Maar we zullen deze 4 weken afwachten en kijken waarmee ze op de proppen komen.
Mooi is dat, precies een maand geleden zonnepanelen gekocht mét een AEG omvormer, want dat leek zo betrouwbaar (Duits enzo hé). Maar eigenlijk direct na installatie viel me al op hoe brak de app was (geen local monitoring mogelijk) en dat de Wifi stick kuren vertoonde. En helaas, ook direct daarna gezien dat een en ander van Chinese makelij was. Meteen contact opgenomen met de leverancier, BONGO solar, en een keurige brief van AEG ontvangen waarin beloofd werd binnen 6 weken (datering ergens in april 2019) met een nieuwe app plus migratie te komen. En nu dus dit. Had BONGO dit niet kunnen / moeten weten? AVG technisch een issue lijkt me...

[Reactie gewijzigd door S1W op 21 juni 2019 14:57]

gekocht mét een AEG omvormer, want dat leek zo betrouwbaar (Duits enzo hé).

Dit is precies wat ik ook meermaals heb aangehaald. Mensen vertrouwen de AEG naam.

De leveranciers en groothandel weten hier al sinds mijn initiële melding vanaf. Het probleem is dat AEG Industrial Solar dingen belooft en dan niet in die beloofde timeframe doet. Hier kunnen de leveranciers/installateurs eigenlijk ook niks aan doen omdat dit niet in hun handen ligt. Het enige wat ze kunnen doen in deze situatie is status vragen bij AEG Industrial Solar en dat communiceren naar de klanten. De installateurs gaan ook niet zomaar stoppen met het verkopen van omvormers van AEG Industrial Solar omdat AEG Industrial Solar beloofd om met een oplossing te komen.
Mijn broer al maanden problemen met die AEG Inverter Control app om remote je inverter data uit te lezen.
Heeft al een paar keer contact gehad met de leverancier, iets van Chinese software en er wordt aan gewerkt maar is erg moeilijk dus heb geduld.

Lijkt erop dat ze idd aan het migreren zijn.
Hoe zit het met SMA omvormers eigenlijk? Die komen in principe ook uit Duitsland... of is dat ook gewoon een chinese rebrand?
Daar durf ik niks over te zeggen. Misschien wel eens leuk om in te duiken!


Om te kunnen reageren moet je ingelogd zijn


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True