Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 40 reacties

Een website waarop Eneco-klanten die over een slimme energiemeter beschikken, hun stroomgebruik kunnen inzien, vertoont de nodige veiligheidslekken, zo meldt Webwereld. Ook zou het domein in handen zijn van een particulier.

De beveiliging van Energiedataportal.nl, die de verbruiksgegevens van Eneco-klanten met een 'slimme energiemeter' moet tonen, blijkt te rammelen. Webwereld ontving een tip dat de site gevoelig is voor cross-site scripting-aanvallen. Bij nadere inspectie bleek onder andere de inlogmodule van Energiedataportal.nl vatbaar te zijn voor xss-aanvallen, waardoor het voor derden onder andere mogelijk is om een gebruiker met malware te besmetten en om persoonlijke gegevens af te vangen. Daarnaast worden de benodigde inloggegevens onversleuteld verstuurd, is het certificaat verlopen en staat de domeinnaam momenteel geregistreerd op de naam van een particulier, en niet op die van Eneco zelf. Hierdoor staan de verzamelde gegevens niet alleen onder het beheer van een particulier, maar kan de domeineigenaar de site ook uit de lucht halen of het verkeer doorsturen.

Eneco stelt in een reactie dat het gaat om een 'tijdelijke' website die nog enkele beveiligingsproblemen vertoont. Energiedataportal.nl zou momenteel proefdraaien en niet voor particulieren, maar uitsluitend voor enkele grootverbruikers zijn bedoeld. Eneco zou inmiddels achter de schermen werken aan een betere beveiliging van de website. Het energiebedrijf zegt plannen te hebben om de beveiliging 'veel zwaarder' te maken.

Het is niet de eerste keer dat de slimme energiemeters en de achterliggende infrastructuur onder vuur komen te liggen. Beveiligingsexperts in de VS waarschuwden in maart nog voor de gevaren van het systeem, en de Eerste Kamer wees een installatieverplichting voor de slimme meters bij particulieren onlangs nog naar de prullenbak. In het wetsvoorstel konden burgers die weigeren een slimme meter te laten installeren zelfs een celstraf opgelegd krijgen, maar over zaken als het voldoen aan veiligheidsnormen en de aansprakelijkheid bij misbruik was niets terug te vinden. De Eerste Kamer stelde dat de privacy van de consument in het geding was en dat er beter over de beveiliging moet worden nagedacht.

Moderatie-faq Wijzig weergave

Reacties (40)

Hoezo is het domein niet in handen van Eneco?

Registrant ENE000827-DRESO
Eneco MDDS B.V.
Essebaan 71
2908LJ CAPELLE AAN DEN IJSSEL
Netherlands

Administrative contact HEK001566-DRESO
M Hektor
+31 (0)888952600
m.hektor@eneco.nl

Volgens mij is het heel normaal dat het administratieve contact een mens is. Het domein staat wel op naam van Eneco MDDS B.V.
Op zich logisch dat de website momenteel vatbaar is voor dergelijke aanvallen. het is namelijk nieuw en er moet dan ook nog het één en ander beveiligd worden. Geef het tijd, dan krijgt de website echt wel een paar mooie pleistertjes :)
Nee, dat is helemaal niet logisch. Je weet als bedrijf dat dit controversieel is, en dus zorg je ervoor dat het vanaf dag één dat het online gaat goed geregeld is met de beveiliging. Liever te streng beveiligd dan niet streng genoeg in dit geval. Het is niet alsof dit type aanval nu zo nieuw zijn. Je moet bij het opzetten van zoiets gewoon zorgen dat de site zodanig beveiligd is dat in elk geval de bekende aanvallen afgeslagen kunnen worden.
Om te beginnen is security niet iets dat je achteraf even inbouwt, maar dat neem je gewoon mee in je features en eisen.

Maar dat iets vatbaar is voor xss kan maar 2 dingen betekenen:
1 - Ze zijn gaan doorontwikkelen op de POC terwijl die daar helemaal niet voor bedoeld was.
2 - Ze hebben de klus uitbesteed aan een prutstoko die eigenlijk helemaal niet bevoegd zou mogen zijn om aan software ontwikkeling te doen.

Het registreren van het domein op naam van een particulier geeft mij een beetje het idee van de professionaliteit en ik neig daarom een beetje naar optie 2.

[Reactie gewijzigd door Janoz op 25 mei 2009 11:48]

Sla je dan de plank niet een beetje mis als je met privacy gevoelige gegevens omgaat?
Ik citeer:
Eneco stelt in een reactie dat het gaat om een 'tijdelijke' website die nog enkele beveiligingsproblemen vertoont. Energiedataportal.nl zou momenteel proefdraaien en niet voor particulieren, maar uitsluitend voor enkele grootverbruikers zijn bedoeld.
Ik neem aan dat Eneco met de term grootverbruikers bedrijven bedoelt. Tuurlijk ze hadden beter moeten oppassen met privégegevens, maar de website draaide dus in feite alleen voor de grootverbruikers, dus in wezen had de consument er niks te zoeken.
En met gegevens van bedrijven hoef ik niet vanaf dag 1 te zorgen dat de website goed beveiligd is? En particulieren hebben er niets te zoeken, dus mogen er niet komen, en dus was het veilig want ze mochten er toch niet komen?

Ik kan je redeneringen niet helemaal volgen...
Vaak zijn dit test gebruikers of leading-customers die weten dat hun gegevens in een pre-release stadium zitten. Echter de informatie die uit die metingen komen zijn voor hun al dermate interessant (lees voorsprong) dat ze een paar onvolkomenheden voor lief nemen.

Let wel; een paar onvolkomenheden betekent niet dat ze er vanuit gaan dat alles zomaar op straat ligt en dat een aantal basis beveiligingen zeker genomen zijn (of detail gegevens zijn weglaten zoals bedrijfsnaam) maar je hebt een test-site nodig om gaten te zoeken en de reactie van Eneco over "enkele beveiligingsproblemen" suggereert wel dat er een basis beveiliging is. Vaak gaat het life-testen in onderling overleg nadat een aantal interne testen zijn doorgevoerd.

Je zult altijd een test-site nodig hebben voor real-life testen en als gedurende die fase iemand buiten het project dit weer te vinden en te kraken is het weer "mooi negatief" (=sarcastisch) nieuws. Jammer voor de beeldvorming want Eneco is best wel goed bezig en loopt redelijk voorop in de wereld van renewable energie (waar de slimme meters een belangrijke positie in innemen).

edit:
Wel grappig om te lezen hoeveel mensen een mening hebben over de site waarvan niemand weet of deze ook echt bedoeld was voor commercial release. Misschien was dit wel een PoC en gaat daarna een redesign plaatsvinden. Soms moet je gewoon eerst weten of het concept werkt voordat je de randvoorwaarden gaat toepassen. Een PoC als uitgangspunt gebruiken is natuurlijk wel vragen om problemen. De reden dat deze site op een particuliere naam staat doet mij extra vermoeden dat het hier om een PoC omdat Eneco nog niet verbonden wil zijn met deze site.

[Reactie gewijzigd door hamsteg op 25 mei 2009 13:41]

Beveiliging lijkt mij geen randvoorwaarde. Bovendien werk je bij een proof-of-concept niet met echte gegevens.
Zo, lekkere foute aanname dit. Als je met zulke privacy gevoelige gegevens werkt zorg je dat je security vanaf dag 1 van het project wordt meegenomen en is het niet iets dat je er achteraf nog even bij plakt.
Ik zou in ieder geval eerst beginnen met het plaatsen van de website op de naam van Eneco zelf. Nu is het op zijn minst dubieus dat het op naam van een particulier staat.
Wat een leuke redenatie, omdat het nieuwe is mag de beveiliging open staan en moet je het even de tijd geven.

Als jou nieuwe auto, nieuw model foutjes heeft ben jij dan ook zo makkelijk ?
De site momenteel "onder constructie" en beveiligd met een .htaccess file.
En maar proberen te pushen die handel. Inmiddels zijn er meer nadelen dan voordelen. Het ding zelf gebruikt ook nog eens meer energie dan een normale meter. De privacy is niet gewaarborgd en het is mij nog steeds niet duidelijk waarom de energiemaatschappijen en de overheid per se aan die dingen willen.
Tja ach, als ik zie hoeveel sites lek zijn kijk ik er niet van op. 90% van de websites waar ik een beetje op rond kijk heeft wel een "lek" ergens.
Maar het is een probleem als er privacy gevoelige info te vinden is.
Privacy gevoelige informatie als 'test' op een slecht beveiligd live systeem. Wat is dit voor knullig amateurisme?

Beveiliging is niet iets wat je achteraf 'even' toevoegd aan je systeem. Beveiliging begint bij het basic design van je applicaties. Maak je maar op voor de mega-hack van het jaar...bij Eneco.
Weet iemand of het mogelijk is om deze meter wel te laten werken, maar elke vorm van communicatie te blokkeren?
Door misschien een hoogfrequentfilter te plaatsen OID?

Ik zie het als een grondrecht om die communicatie met de energie leverancier te weigeren.
1x per jaar een getalletje invullen op een website is meer dan genoeg gevens voor een energieleverancier. De rest is overbodig.

Edit afhankelijk van de frequentie, doet een koektrommel achtige constructie het signaal blokkeren. Wel de openingen zo klein mogelijk houden. (kooi van faraday)

[Reactie gewijzigd door AteZ op 25 mei 2009 12:19]

Misschien in zijn geheel inpakken in aluminiumfolie ?
Waarschijnlijk is kopierfolie beter, maar daar is moeilijker aan te komen.

Probeer het eens bij je GSM: inpakken en kijken of je jezelf nog bellen kunt. :P
stukje kippengaas werkt misschien ook? Dan kun je hem bovendien nog aflezen...

Maar aan mijn lijf uberhaupt geen polonaise, dat ding komt er eenvoudigweg niet in!
Ding werkt via GPRS heb ik vernomen, dus als je dat op een of andere manier weet te omzeilen (zonder het mobiele telefoonverkeer in de straat plat te leggen) heb je het opgelost.

Denk wel dat een mannetje van Eneco wel eens voor de deur zal kunnen staan om te kijken wat er mis is met het ding omdat hij geen data terugstuurt naar huis...

Als ik het zo lees heeft Eneco niet echt aan de veiligheid gedacht, 10 tegen 1 kans dat wat over de GPRS gestuurd wordt ook onbeveiligde meuk is. Kan je dat signaal niet aftappen en "lichtelijk" veranderen?
Een mannetje van Eneco mag kortstondig buiten voor de deur staan, maar niet te vaak.
Als hij het daar vandaan kan constateren...
De meeste van dergelijke crossscripting aanvallen werken overigens niet bij gebruikers van IE8 of gebruikers van Firefox in combinatie de Noscript addon
domain-registry is ook vatbaar voor xss :P

Klik hier voor een voorbeeld ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True