Eneco-site voor slimme energiemeters blijkt vatbaar voor xss-aanvallen

Een website waarop Eneco-klanten die over een slimme energiemeter beschikken, hun stroomgebruik kunnen inzien, vertoont de nodige veiligheidslekken, zo meldt Webwereld. Ook zou het domein in handen zijn van een particulier.

De beveiliging van Energiedataportal.nl, die de verbruiksgegevens van Eneco-klanten met een 'slimme energiemeter' moet tonen, blijkt te rammelen. Webwereld ontving een tip dat de site gevoelig is voor cross-site scripting-aanvallen. Bij nadere inspectie bleek onder andere de inlogmodule van Energiedataportal.nl vatbaar te zijn voor xss-aanvallen, waardoor het voor derden onder andere mogelijk is om een gebruiker met malware te besmetten en om persoonlijke gegevens af te vangen. Daarnaast worden de benodigde inloggegevens onversleuteld verstuurd, is het certificaat verlopen en staat de domeinnaam momenteel geregistreerd op de naam van een particulier, en niet op die van Eneco zelf. Hierdoor staan de verzamelde gegevens niet alleen onder het beheer van een particulier, maar kan de domeineigenaar de site ook uit de lucht halen of het verkeer doorsturen.

Eneco stelt in een reactie dat het gaat om een 'tijdelijke' website die nog enkele beveiligingsproblemen vertoont. Energiedataportal.nl zou momenteel proefdraaien en niet voor particulieren, maar uitsluitend voor enkele grootverbruikers zijn bedoeld. Eneco zou inmiddels achter de schermen werken aan een betere beveiliging van de website. Het energiebedrijf zegt plannen te hebben om de beveiliging 'veel zwaarder' te maken.

Het is niet de eerste keer dat de slimme energiemeters en de achterliggende infrastructuur onder vuur komen te liggen. Beveiligingsexperts in de VS waarschuwden in maart nog voor de gevaren van het systeem, en de Eerste Kamer wees een installatieverplichting voor de slimme meters bij particulieren onlangs nog naar de prullenbak. In het wetsvoorstel konden burgers die weigeren een slimme meter te laten installeren zelfs een celstraf opgelegd krijgen, maar over zaken als het voldoen aan veiligheidsnormen en de aansprakelijkheid bij misbruik was niets terug te vinden. De Eerste Kamer stelde dat de privacy van de consument in het geding was en dat er beter over de beveiliging moet worden nagedacht.

Door Dimitri Reijerman

Redacteur

Feedback • 25-05-2009 11:16 40

25-05-2009 • 11:16

40

Lees meer

App voor Toon-thermostaat Eneco dagen buiten gebruik door storing
App voor Toon-thermostaat Eneco dagen buiten gebruik door storing Nieuws van 11 oktober 2016
Eneco verkoopt Toon ook aan niet-klanten
Eneco verkoopt Toon ook aan niet-klanten Nieuws van 10 juli 2015
Eneco wil Toon dit jaar ook aan niet-klanten gaan aanbieden
Eneco wil Toon dit jaar ook aan niet-klanten gaan aanbieden Nieuws van 14 januari 2015
Eneco Toon-thermostaat gaat Philips Hue ondersteunen en komt met api
Eneco Toon-thermostaat gaat Philips Hue ondersteunen en komt met api Nieuws van 23 september 2014
Onderzoekers leggen kwetsbaarheden in energiemeters bloot
Onderzoekers leggen kwetsbaarheden in energiemeters bloot Nieuws van 21 oktober 2012
Tot 2014 krijgen 450.000 huishoudens een slimme energiemeter
Tot 2014 krijgen 450.000 huishoudens een slimme energiemeter Nieuws van 16 februari 2012
Eneco introduceert e-thermostaat Toon
Eneco introduceert e-thermostaat Toon Nieuws van 18 januari 2012
American Express liet adminpanel voor site-debugging openstaan
American Express liet adminpanel voor site-debugging openstaan Nieuws van 7 oktober 2011
'Slimme energiemeter kan kijkgedrag verraden'
'Slimme energiemeter kan kijkgedrag verraden' Nieuws van 21 september 2011
Overheid stuurt aan op brede invoer slimme energiemeter
Overheid stuurt aan op brede invoer slimme energiemeter Nieuws van 3 november 2010
Minister: slimme energiemeters eerst kleinschalig invoeren
Minister: slimme energiemeters eerst kleinschalig invoeren Nieuws van 6 september 2010
'KPN werkt in stilte aan uitrol landelijk cdma450-netwerk' - update
'KPN werkt in stilte aan uitrol landelijk cdma450-netwerk' - update Nieuws van 9 augustus 2010
Minister komt met nieuw voorstel voor invoering slimme energiemeter
Minister komt met nieuw voorstel voor invoering slimme energiemeter Nieuws van 25 april 2010
'Slimme energiemeters bevatten beveiligingslekken'
'Slimme energiemeters bevatten beveiligingslekken' Nieuws van 29 maart 2010
'Miljoenen flashbanners zijn gevoelig voor scripting-aanvallen'
'Miljoenen flashbanners zijn gevoelig voor scripting-aanvallen' Nieuws van 24 december 2009
Amerikaanse overheid pompt miljarden in 'smart grids'
Amerikaanse overheid pompt miljarden in 'smart grids' Nieuws van 28 september 2009
Beveiligingslek in site Stayokay ontdekt - update
Beveiligingslek in site Stayokay ontdekt - update Nieuws van 22 juni 2009
Eerste Kamer houdt mogelijk voorstel voor slimme meters tegen
Eerste Kamer houdt mogelijk voorstel voor slimme meters tegen Nieuws van 25 maart 2009
'Slimme elektriciteitsnetten zijn kwetsbaar voor hackers'
'Slimme elektriciteitsnetten zijn kwetsbaar voor hackers' Nieuws van 22 maart 2009
Google werkt aan 'slimme' energiemeter
Google werkt aan 'slimme' energiemeter Nieuws van 10 februari 2009
Consumentenbond: 'slimme' energiemeters schenden privacy
Consumentenbond: 'slimme' energiemeters schenden privacy Nieuws van 11 november 2008
Meer producten en artikelen
Privacy Beveiliging Energie Nederland Overheid

Reacties (40)

-Moderatie-faq
40
39
7
3
0
0
Wijzig sortering
pinockio 25 mei 2009 19:22
Hoezo is het domein niet in handen van Eneco?

Registrant ENE000827-DRESO
Eneco MDDS B.V.
Essebaan 71
2908LJ CAPELLE AAN DEN IJSSEL
Netherlands

Administrative contact HEK001566-DRESO
M Hektor
+31 (0)888952600
m.hektor@eneco.nl

Volgens mij is het heel normaal dat het administratieve contact een mens is. Het domein staat wel op naam van Eneco MDDS B.V.
Verwijderd 25 mei 2009 11:23
Op zich logisch dat de website momenteel vatbaar is voor dergelijke aanvallen. het is namelijk nieuw en er moet dan ook nog het één en ander beveiligd worden. Geef het tijd, dan krijgt de website echt wel een paar mooie pleistertjes :)
ATS @Verwijderd25 mei 2009 11:30
Nee, dat is helemaal niet logisch. Je weet als bedrijf dat dit controversieel is, en dus zorg je ervoor dat het vanaf dag één dat het online gaat goed geregeld is met de beveiliging. Liever te streng beveiligd dan niet streng genoeg in dit geval. Het is niet alsof dit type aanval nu zo nieuw zijn. Je moet bij het opzetten van zoiets gewoon zorgen dat de site zodanig beveiligd is dat in elk geval de bekende aanvallen afgeslagen kunnen worden.
Janoz Moderator PRG/SEA @Verwijderd25 mei 2009 11:46
Om te beginnen is security niet iets dat je achteraf even inbouwt, maar dat neem je gewoon mee in je features en eisen.

Maar dat iets vatbaar is voor xss kan maar 2 dingen betekenen:
1 - Ze zijn gaan doorontwikkelen op de POC terwijl die daar helemaal niet voor bedoeld was.
2 - Ze hebben de klus uitbesteed aan een prutstoko die eigenlijk helemaal niet bevoegd zou mogen zijn om aan software ontwikkeling te doen.

Het registreren van het domein op naam van een particulier geeft mij een beetje het idee van de professionaliteit en ik neig daarom een beetje naar optie 2.

[Reactie gewijzigd door Janoz op 24 juli 2024 14:57]

GreenPictures @Verwijderd25 mei 2009 11:24
Sla je dan de plank niet een beetje mis als je met privacy gevoelige gegevens omgaat?
Verwijderd @GreenPictures25 mei 2009 11:27
Ik citeer:
Eneco stelt in een reactie dat het gaat om een 'tijdelijke' website die nog enkele beveiligingsproblemen vertoont. Energiedataportal.nl zou momenteel proefdraaien en niet voor particulieren, maar uitsluitend voor enkele grootverbruikers zijn bedoeld.
Ik neem aan dat Eneco met de term grootverbruikers bedrijven bedoelt. Tuurlijk ze hadden beter moeten oppassen met privégegevens, maar de website draaide dus in feite alleen voor de grootverbruikers, dus in wezen had de consument er niks te zoeken.
Verwijderd @Verwijderd25 mei 2009 12:47
En met gegevens van bedrijven hoef ik niet vanaf dag 1 te zorgen dat de website goed beveiligd is? En particulieren hebben er niets te zoeken, dus mogen er niet komen, en dus was het veilig want ze mochten er toch niet komen?

Ik kan je redeneringen niet helemaal volgen...
hamsteg @Verwijderd25 mei 2009 13:31
Vaak zijn dit test gebruikers of leading-customers die weten dat hun gegevens in een pre-release stadium zitten. Echter de informatie die uit die metingen komen zijn voor hun al dermate interessant (lees voorsprong) dat ze een paar onvolkomenheden voor lief nemen.

Let wel; een paar onvolkomenheden betekent niet dat ze er vanuit gaan dat alles zomaar op straat ligt en dat een aantal basis beveiligingen zeker genomen zijn (of detail gegevens zijn weglaten zoals bedrijfsnaam) maar je hebt een test-site nodig om gaten te zoeken en de reactie van Eneco over "enkele beveiligingsproblemen" suggereert wel dat er een basis beveiliging is. Vaak gaat het life-testen in onderling overleg nadat een aantal interne testen zijn doorgevoerd.

Je zult altijd een test-site nodig hebben voor real-life testen en als gedurende die fase iemand buiten het project dit weer te vinden en te kraken is het weer "mooi negatief" (=sarcastisch) nieuws. Jammer voor de beeldvorming want Eneco is best wel goed bezig en loopt redelijk voorop in de wereld van renewable energie (waar de slimme meters een belangrijke positie in innemen).

edit:
Wel grappig om te lezen hoeveel mensen een mening hebben over de site waarvan niemand weet of deze ook echt bedoeld was voor commercial release. Misschien was dit wel een PoC en gaat daarna een redesign plaatsvinden. Soms moet je gewoon eerst weten of het concept werkt voordat je de randvoorwaarden gaat toepassen. Een PoC als uitgangspunt gebruiken is natuurlijk wel vragen om problemen. De reden dat deze site op een particuliere naam staat doet mij extra vermoeden dat het hier om een PoC omdat Eneco nog niet verbonden wil zijn met deze site.

[Reactie gewijzigd door hamsteg op 24 juli 2024 14:57]

Verwijderd @hamsteg25 mei 2009 16:39
Beveiliging lijkt mij geen randvoorwaarde. Bovendien werk je bij een proof-of-concept niet met echte gegevens.
MonkeySandwich @Verwijderd25 mei 2009 11:27
Zo, lekkere foute aanname dit. Als je met zulke privacy gevoelige gegevens werkt zorg je dat je security vanaf dag 1 van het project wordt meegenomen en is het niet iets dat je er achteraf nog even bij plakt.
Sky Lynx @Verwijderd25 mei 2009 11:25
Ik zou in ieder geval eerst beginnen met het plaatsen van de website op de naam van Eneco zelf. Nu is het op zijn minst dubieus dat het op naam van een particulier staat.
bbob
@Verwijderd25 mei 2009 12:21
Wat een leuke redenatie, omdat het nieuwe is mag de beveiliging open staan en moet je het even de tijd geven.

Als jou nieuwe auto, nieuw model foutjes heeft ben jij dan ook zo makkelijk ?
Bilel 25 mei 2009 11:20
De site momenteel "onder constructie" en beveiligd met een .htaccess file.
ManiacsHouse 25 mei 2009 11:25
En maar proberen te pushen die handel. Inmiddels zijn er meer nadelen dan voordelen. Het ding zelf gebruikt ook nog eens meer energie dan een normale meter. De privacy is niet gewaarborgd en het is mij nog steeds niet duidelijk waarom de energiemaatschappijen en de overheid per se aan die dingen willen.
Drexz 25 mei 2009 11:27
Tja ach, als ik zie hoeveel sites lek zijn kijk ik er niet van op. 90% van de websites waar ik een beetje op rond kijk heeft wel een "lek" ergens.
Ge Someone @Drexz25 mei 2009 13:40
Maar het is een probleem als er privacy gevoelige info te vinden is.
Edgarz 25 mei 2009 11:30
Privacy gevoelige informatie als 'test' op een slecht beveiligd live systeem. Wat is dit voor knullig amateurisme?

Beveiliging is niet iets wat je achteraf 'even' toevoegd aan je systeem. Beveiliging begint bij het basic design van je applicaties. Maak je maar op voor de mega-hack van het jaar...bij Eneco.
AteZ 25 mei 2009 11:32
Weet iemand of het mogelijk is om deze meter wel te laten werken, maar elke vorm van communicatie te blokkeren?
Door misschien een hoogfrequentfilter te plaatsen OID?

Ik zie het als een grondrecht om die communicatie met de energie leverancier te weigeren.
1x per jaar een getalletje invullen op een website is meer dan genoeg gevens voor een energieleverancier. De rest is overbodig.

Edit afhankelijk van de frequentie, doet een koektrommel achtige constructie het signaal blokkeren. Wel de openingen zo klein mogelijk houden. (kooi van faraday)

[Reactie gewijzigd door AteZ op 24 juli 2024 14:57]

kzin @AteZ25 mei 2009 12:01
Misschien in zijn geheel inpakken in aluminiumfolie ?
Waarschijnlijk is kopierfolie beter, maar daar is moeilijker aan te komen.

Probeer het eens bij je GSM: inpakken en kijken of je jezelf nog bellen kunt. :P
Verwijderd @AteZ25 mei 2009 12:50
stukje kippengaas werkt misschien ook? Dan kun je hem bovendien nog aflezen...

Maar aan mijn lijf uberhaupt geen polonaise, dat ding komt er eenvoudigweg niet in!
ThaStealth 25 mei 2009 11:38
Ding werkt via GPRS heb ik vernomen, dus als je dat op een of andere manier weet te omzeilen (zonder het mobiele telefoonverkeer in de straat plat te leggen) heb je het opgelost.

Denk wel dat een mannetje van Eneco wel eens voor de deur zal kunnen staan om te kijken wat er mis is met het ding omdat hij geen data terugstuurt naar huis...

Als ik het zo lees heeft Eneco niet echt aan de veiligheid gedacht, 10 tegen 1 kans dat wat over de GPRS gestuurd wordt ook onbeveiligde meuk is. Kan je dat signaal niet aftappen en "lichtelijk" veranderen?
stresstak @ThaStealth25 mei 2009 16:48
Een mannetje van Eneco mag kortstondig buiten voor de deur staan, maar niet te vaak.
Als hij het daar vandaan kan constateren...
Verwijderd 25 mei 2009 11:40
De meeste van dergelijke crossscripting aanvallen werken overigens niet bij gebruikers van IE8 of gebruikers van Firefox in combinatie de Noscript addon
jurp5 25 mei 2009 11:41
domain-registry is ook vatbaar voor xss :P

Klik hier voor een voorbeeld ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq