Data van talloze Nederlandse klanten op straat door datalek in zonnepanelen

Persoonlijke data van maximaal 1500 Nederlandse gebruikers van AEG Solar-inverters, een onderdeel van zonnepanelen, zijn al maandenlang via internet toegankelijk. Data van klanten staan op een Chinese server met verouderde en slecht beveiligde software. Dat blijkt uit onderzoek van techsite Tweakers. Hierdoor werd het mogelijk om de zonnepanelen van gebruikers uit te schakelen of het voltage aan te passen.

Tweakers/Techredactie 21-06-19, 13:30 Laatste update: 13:39

Veel van de software die INVT gebruikt, was bovendien lange tijd verouderd of onveilig

Het datalek werd ontdekt door een lezer van Tweakers die de redactie tipte. De lezer kwam in november vorig jaar achter het lek en probeerde dat via officiële kanalen te laten dichten, maar dat is na maanden nog niet gebeurd.

Het lek zit in zogenoemde inverters van het Duitse bedrijf AEG Industrial Solar. Die worden gebruikt om stroom van zonnepanelen om te zetten naar netstroom. AEG heeft zijn inverters niet zelf ontwikkeld, maar gebruikt exemplaren van het Chinese bedrijf INVT.

,,Dat doen we omdat de inverters van dit bedrijf nu eenmaal erg goed zijn en weinig verlies kennen bij het omvormen”, zegt een woordvoerder van het bedrijf. ,,Er zijn in Europa vrijwel geen fabrikanten die inverters van deze kwaliteit leveren.” Opvallend is echter dat het bedrijf niet alleen de Chinese hardware gebruikt, maar ook Chinese software. Dat betekent dat gegevens van klanten van AEG Solar op een server in China staan.

Veel van de software die INVT gebruikt, was bovendien lange tijd verouderd of onveilig. Mede door de slechte beveiliging was het mogelijk gegevens van iedere gebruiker op de server te verkrijgen. Na meldingen van Tweakers zijn daar wel maatregelen tegen genomen.

Informatie

Het ging om standaardinformatie zoals de loginnaam en het serienummer of -type van de inverter, maar ook om informatie die klanten zelf kunnen invullen zoals hun naam, e-mailadres, postcode en huisnummer. Zeker die laatste zijn interessant, want sommige installateurs gebruiken die gegevens als wachtwoord om in te loggen op de portal. Naast het aflezen van informatie was het mogelijk om de inverter zelfs te manipuleren. Het was dan mogelijk die helemaal uit te schakelen of het voltage te verhogen of te verlagen.

In totaal zijn op deze manier de gegevens van 19.000 gebruikers te achterhalen. Hoeveel er daarvan uit Nederland komen, is niet met volle zekerheid te zeggen. Maar er staan wel 1542 records in de database met ‘Netherlands’ als land ingesteld. ,,Maar het echte aantal Nederlandse klanten ligt waarschijnlijk zo’n 300 lager. Dat zijn bijvoorbeeld testaccounts of dubbelingen”, zegt AEG. Het is niet bekend hoe lang de data op deze manier openbaar was, maar volgens AEG zijn er geen signalen dat onbevoegden toegang tot de data hebben gehad.

Ook tegen Tweakers bevestigt het bedrijf dat het nog steeds bezig is met een oplossing. Het bedrijf heeft in Duitsland een softwaremaker in de arm genomen om nieuwe software zoals een app te ontwikkelen en om de data over te zetten van de server uit China naar een Europese. Dat moet nog gaan gebeuren, zegt het bedrijf.

In de tussentijd zijn er wel maatregelen genomen om de beveiliging van de server te verbeteren. De portal om in te loggen is tijdelijk offline gehaald.