Data van talloze Nederlandse klanten op straat door datalek in zonnepanelen
Persoonlijke data van maximaal 1500 Nederlandse gebruikers van AEG Solar-inverters, een onderdeel van zonnepanelen, zijn al maandenlang via internet toegankelijk. Data van klanten staan op een Chinese server met verouderde en slecht beveiligde software. Dat blijkt uit onderzoek van techsite Tweakers. Hierdoor werd het mogelijk om de zonnepanelen van gebruikers uit te schakelen of het voltage aan te passen.
Delen per e-mail
Veel van de software die INVT gebruikt, was bovendien lange tijd verouderd of onveilig
Het datalek werd ontdekt door een lezer van Tweakers die de redactie tipte. De lezer kwam in november vorig jaar achter het lek en probeerde dat via officiële kanalen te laten dichten, maar dat is na maanden nog niet gebeurd.
Het lek zit in zogenoemde inverters van het Duitse bedrijf AEG Industrial Solar. Die worden gebruikt om stroom van zonnepanelen om te zetten naar netstroom. AEG heeft zijn inverters niet zelf ontwikkeld, maar gebruikt exemplaren van het Chinese bedrijf INVT.
,,Dat doen we omdat de inverters van dit bedrijf nu eenmaal erg goed zijn en weinig verlies kennen bij het omvormen”, zegt een woordvoerder van het bedrijf. ,,Er zijn in Europa vrijwel geen fabrikanten die inverters van deze kwaliteit leveren.” Opvallend is echter dat het bedrijf niet alleen de Chinese hardware gebruikt, maar ook Chinese software. Dat betekent dat gegevens van klanten van AEG Solar op een server in China staan.
Veel van de software die INVT gebruikt, was bovendien lange tijd verouderd of onveilig. Mede door de slechte beveiliging was het mogelijk gegevens van iedere gebruiker op de server te verkrijgen. Na meldingen van Tweakers zijn daar wel maatregelen tegen genomen.
Informatie
Het ging om standaardinformatie zoals de loginnaam en het serienummer of -type van de inverter, maar ook om informatie die klanten zelf kunnen invullen zoals hun naam, e-mailadres, postcode en huisnummer. Zeker die laatste zijn interessant, want sommige installateurs gebruiken die gegevens als wachtwoord om in te loggen op de portal. Naast het aflezen van informatie was het mogelijk om de inverter zelfs te manipuleren. Het was dan mogelijk die helemaal uit te schakelen of het voltage te verhogen of te verlagen.
In totaal zijn op deze manier de gegevens van 19.000 gebruikers te achterhalen. Hoeveel er daarvan uit Nederland komen, is niet met volle zekerheid te zeggen. Maar er staan wel 1542 records in de database met ‘Netherlands’ als land ingesteld. ,,Maar het echte aantal Nederlandse klanten ligt waarschijnlijk zo’n 300 lager. Dat zijn bijvoorbeeld testaccounts of dubbelingen”, zegt AEG. Het is niet bekend hoe lang de data op deze manier openbaar was, maar volgens AEG zijn er geen signalen dat onbevoegden toegang tot de data hebben gehad.
Ook tegen Tweakers bevestigt het bedrijf dat het nog steeds bezig is met een oplossing. Het bedrijf heeft in Duitsland een softwaremaker in de arm genomen om nieuwe software zoals een app te ontwikkelen en om de data over te zetten van de server uit China naar een Europese. Dat moet nog gaan gebeuren, zegt het bedrijf.
In de tussentijd zijn er wel maatregelen genomen om de beveiliging van de server te verbeteren. De portal om in te loggen is tijdelijk offline gehaald.
Verder in het nieuws
-
Ex-gevangene verdient miljoenen dollars als vlogger
Ze gelden als buitenstaanders in het vloggerswereldje zijn juist daarom populair: ex-gevangenen die hun miljoenen volgers vertellen over het leven achter de tralies. -
PREMIUM
Altijd muziek: deze audiostreamingdiensten moet je proberen
Vinyl is al jaren weer hip en zelfs het cassettebandje beleeft een heuse revival, maar voor het echte muziekgemak kies je voor streaming audio. De populairste diensten die muziek in de ‘cloud’ aanbieden op een rij. -
Snel 110.000 euro verdienen? Deze robotmaker koopt jouw gezicht
De Britse robotmaker Geomiq komt met een opmerkelijk aanbod voor mensen die snel geld willen verdienen. De fabrikant biedt zo’n 125.000 dollar (zo’n 110.000 euro) voor jouw beeltenis. Met het merkrecht van jouw gelaat maakt het bedrijf vervolgens robots die op jou lijken. -
Zoveel zuiniger is donkere modus van iOS 13 op iPhones
Het nieuwe besturingssysteem voor de iPhone, iOS 13, beschikt nu ook over de langverwachte ‘dark mode’ of donkere modus. De achtergrond is in die modus niet langer licht en fel, maar donker. In het geval van iOS 13 zelfs écht zwart en dus ideaal voor oled-schermen die X, XS en 11 Pro-toestellen hebben. Uit een batterijtest van PhoneBuff blijkt dat de donkere modus tot dertig procent zuiniger kan zijn. -
Facebook haalt Russische accounts met Amerikaanse politieke boodschappen uit de lucht
Facebook heeft een netwerk van Instagramaccounts die vanuit Rusland werden beheerd, uit de lucht gehaald. De accounts richtten zich met politieke boodschappen op Amerikanen in een poging de presidentsverkiezingen van volgend jaar te beïnvloeden. De Russen deden zich voor als Amerikanen uit onder andere de staten Virginia en Florida, meldt Facebook.
-
Grote internetstoring Ziggo
Ziggo-klanten door heel Nederland kunnen last hebben van een internetstoring. Er komen vooral meldingen vanuit de regio Den Haag, maar ook uit andere delen van het land. De provider bevestigt dat er sprake is van problemen. -
Nieuwe manier ontdekt om slimme luidsprekers af te luisteren
Onderzoekers van het Berlijnse Security Research Labs (SRLabs) hebben een manier gevonden om gebruikers van slimme luidsprekers van Google en Amazon om de tuin te leiden zodat ze afgeluisterd kunnen worden. De techniek kan ook misbruikt worden voor ‘vishing’, phishing via stemcommando’s. -
Mitt Romney heeft geheim account op Twitter maar volgt Trump niet
De Amerikaanse politicus Mitt Romney heeft een geheim account op Twitter. Hij wil anoniem en in alle stilte discussies over zichzelf volgen, zegt hij in een interview met het tijdschrift The Atlantic. De politicus laat weten president Trump niet te volgen. Dat is het ‘te veel’.
