De Nederlandse hacker Jelle Ursem wist toegang te krijgen tot het systeem van het Chinese Solarman, dat zonnepanelen beheert en monitort. Hij kon de namen en adressen van klanten inzien en veranderen. Ook was het mogelijk om de firmware van de omvormers aan te passen.
Ursem, die op Tweakers bekendstaat als SchizoDuckie, ging op onderzoek uit naar aanleiding van een tweet van ethisch hacker Célistine Oosting. Ursem vond de inloggegevens van het systeem via GitHub en kreeg daarmee toegang tot het adminportaal van Solarman, meldt Follow the Money. Het wachtwoord bestond uit een Chinese naam met '123' erachter. Tweefactorauthenticatie was niet ingeschakeld. Ursem zoekt als ethisch hacker vaak op GitHub en dergelijke platforms naar repo's waar wachtwoorden of api-keys in staan opgeslagen. Tweakers sprak hem daar eerder dit jaar over.
Met de inloggegevens was het mogelijk om de persoonsgegevens van Nederlandse klanten in te zien. Ursem zegt dat hij nieuwe gebruikers kon aanmaken en bestaande gebruikers kon verwijderen. Daarnaast kon hij onder meer de gps-coördinaten en de hoeveelheid stroom die de zonnepanelen opwekken inzien. Ook was het mogelijk om de firmware van de omvormers te downloaden, aan te passen en weer te uploaden.
Aanvallers met toegang tot het systeem konden de zonnepanelen van Solarman-klanten zelfs op afstand uitschakelen of onklaar maken. Daarnaast zou een hacker het internet van eigenaren van zonnepanelen kunnen platleggen als de omvormer is verbonden met het thuiswifinetwerk. Ook is er kans op brandgevaar als de beveiligingsinstellingen rond de spanning op een bepaalde manier worden aangepast.
Oosting kwam tot de ontdekking dat de klantendata naar China wordt gestuurd, wat in strijd is met de AVG. Ook kan China op afstand de omvormers van in Nederland geplaatste zonnepanelen beheren. En dat terwijl Chinese bedrijven vanwege een te groot risico voor de staatsveiligheid geen vitale delen van het Nederlandse stroomnet op de Noordzee mogen bouwen.
Ursem trok vorig jaar aan de bel bij het Dutch Institute for Vulnerability Disclosure. Dat stuurde vervolgens een mail naar Solarman. Een reactie kwam er niet, maar het wachtwoord werd wel aangepast. In februari van dit jaar ontdekte Ursem echter dat het oude wachtwoord toch weer werkte. Inmiddels is het lek gedicht. Voor zover bekend heeft het niet tot schade geleid.
Solarman, dat in Nederland meer dan 42.000 klanten heeft, beweert in een reactie aan RTLNieuws dat het wachtwoord enkel toegang gaf tot een testomgeving, maar geeft toe dat het mogelijk was om de software van de omvormers aan te passen.
Update, 25 juli: In een vorige versie van dit artikel stond dat Solarman omvormers voor zonnepanelen levert. Het gaat echter om monitoringssoftware voor omvormers.
Update, 4 september: In dit artikel stond dat Ursem ontdekte dat er klantendata naar China werd gestuurd. Dit is onjuist. Het was ethisch hacker Célistine Oosting die dit ontdekte. Het artikel is daarom aangepast.