Solarman
Beeld: Bill Mead / Unsplash

Het beheersysteem van Solarman was jarenlang beveiligd met een openbaar wachtwoord. Via het systeem konden omvormers wereldwijd worden beheerd. Solarman zegt het lek te hebben gedicht.

Advertentie

Voor ruim één miljoen zonnepanelen wereldwijd is het gevaar van de Solarman-software inmiddels geweken, maar het lek was niet zonder gevaar. Jelle Ursem, die het lek in april 2021 ontdekte en de problemen bij Solarman meldde, vertelt tegenover Follow The Money dat hij toegang kreeg tot een wereldwijde database met zonnepanelen, met daaraan verbonden een firmware-sectie. In principe kon Ursem daarmee de firmware van zonnepanelen en omvormers die aan het systeem hingen, op afstand downloaden en updaten. Hierdoor zou brandgevaar kunnen ontstaan, bijvoorbeeld als een kwaadwillende beveiligingsinstellingen naar gevaarlijke waarden aanpast.

Solarman-wachtwoord in Github

Jelle hoefde voor het verwerven van toegang tot de Solarman-systemen geen speciale trucks uit te halen. Het bedrijf plaatste het wachtwoord van het beheersysteem op Github. Volgens de hacker, die Github repositories afstruint op onbewaakte wachtwoorden, was het wachtwoord opgebouwd uit een Chinese naam gecombineerd met de cijfers 123. Via de systemen van Solarman kreeg Jelle inzicht in persoonsgegevens van Nederlandse Solarman-klanten. Daarnaast zag de hacker gps-data van zonnepaneel-aansluitingen, en was de hoeveelheid stroom die werd opgewekt zichtbaar.

Ook bood het beheersysteem de mogelijkheid om zonnepanelen en omvormers uit te schakelen of onklaar te maken. Hoogleraar internetveiligheid aan de Universiteit Twente Aiko Pras, zegt dat een hacker via het beheersysteem zelfs het internet van gebruikers kon platleggen. Hiervoor moet de omvormer waarop de Solarman-software draait dan wel met het wifi-netwerk verbonden zijn.

Daarnaast is het opvallend te noemen dat Solarman gebruikersdata naar China verstuurt, ontdekte Ursem. Het delen van gebruikersdata met landen buiten de Europese Unie, is namelijk in strijd met geldende GDPR-wetgeving. Omvormers konden daarbij ook vanuit China worden bestuurd. Of deze praktijken inmiddels zijn beëindigd, is niet bekendgemaakt.

Oude wachtwoord keerde terug

Nadat Ursem in april 2021 het wachtwoord ontdekte in de Github-omgeving van Solarman, maakte hij hier een melding van bij het Dutch Institute for Vulnerability Disclosure (DIVD). Zij overzagen het contact met Solarman, dat niet op mails van het DIVD inging. Wel werd het wachtwoord verwijderd van de Github-omgeving en kreeg het beheersysteem een nieuw wachtwoord. Opvallend is dat het oude wachtwoord begin dit jaar plots weer werkte, zegt Jelle.

Inmiddels lijkt Solarman de problemen definitief te hebben aangepakt. Tegenover RTL Nieuws laat het bedrijf weten dat het wachtwoord enkel toegang gaf tot een testomgeving. Wel gaf het toe dat het systeem de mogelijkheid bood om de software op omvormers aan te passen.