Een website waarop Eneco-klanten die over een slimme energiemeter beschikken, hun stroomgebruik kunnen inzien, vertoont de nodige veiligheidslekken, zo meldt Webwereld. Ook zou het domein in handen zijn van een particulier.
De beveiliging van Energiedataportal.nl, die de verbruiksgegevens van Eneco-klanten met een 'slimme energiemeter' moet tonen, blijkt te rammelen. Webwereld ontving een tip dat de site gevoelig is voor cross-site scripting-aanvallen. Bij nadere inspectie bleek onder andere de inlogmodule van Energiedataportal.nl vatbaar te zijn voor xss-aanvallen, waardoor het voor derden onder andere mogelijk is om een gebruiker met malware te besmetten en om persoonlijke gegevens af te vangen. Daarnaast worden de benodigde inloggegevens onversleuteld verstuurd, is het certificaat verlopen en staat de domeinnaam momenteel geregistreerd op de naam van een particulier, en niet op die van Eneco zelf. Hierdoor staan de verzamelde gegevens niet alleen onder het beheer van een particulier, maar kan de domeineigenaar de site ook uit de lucht halen of het verkeer doorsturen.
Eneco stelt in een reactie dat het gaat om een 'tijdelijke' website die nog enkele beveiligingsproblemen vertoont. Energiedataportal.nl zou momenteel proefdraaien en niet voor particulieren, maar uitsluitend voor enkele grootverbruikers zijn bedoeld. Eneco zou inmiddels achter de schermen werken aan een betere beveiliging van de website. Het energiebedrijf zegt plannen te hebben om de beveiliging 'veel zwaarder' te maken.
Het is niet de eerste keer dat de slimme energiemeters en de achterliggende infrastructuur onder vuur komen te liggen. Beveiligingsexperts in de VS waarschuwden in maart nog voor de gevaren van het systeem, en de Eerste Kamer wees een installatieverplichting voor de slimme meters bij particulieren onlangs nog naar de prullenbak. In het wetsvoorstel konden burgers die weigeren een slimme meter te laten installeren zelfs een celstraf opgelegd krijgen, maar over zaken als het voldoen aan veiligheidsnormen en de aansprakelijkheid bij misbruik was niets terug te vinden. De Eerste Kamer stelde dat de privacy van de consument in het geding was en dat er beter over de beveiliging moet worden nagedacht.