Den holländska hackaren Jelle Ursem lyckades få tillgång till det kinesiska Solarman-systemet, som hanterar och kontrollerar solpaneler. Han kunde se och ändra namn och adresser på kunder. Det var också möjligt att konfigurera växelriktarnas firmware.

ursem, som är känd på Tweakers som SchizoDuckiehittade systemuppgifterna via GitHub och fick åtkomst till Solarmans adminportal, meldt följa pengarna. Lösenordet bestod av ett kinesiskt namn följt av siffran “123”. Tvåfaktorsautentisering var inte aktiverad. Ursem är en etisk hackare och söker ofta på GitHub och liknande plattformar efter repositories där lösenord eller API-nycklar lagras. Tweakers pratade med honom om det tidigare i år..

Med inloggningsuppgifter var det möjligt att se holländska kunders personuppgifter. Ursem säger att han kunde skapa nya användare och ta bort befintliga. Dessutom kunde han se GPS-koordinater och mängden ström som genererades av solpanelerna. Det var också möjligt att ladda ner, konfigurera och ladda upp inverterns firmware igen.

Angripare med tillgång till systemet kan till och med fjärrstänga eller inaktivera solpanelerna för Solarman-kunder. Även hackaren kan inaktivera internet för solpanelsägare när växelriktaren är ansluten till hemmets WiFi-nätverk. Det finns också risk för brand om spänningsskyddsinställningarna justeras på ett visst sätt.

Dessutom upptäckte Ursem att kunddata skickas till Kina, vilket strider mot GDPR. Kina kan också fjärrstyra solpanelsväxelriktare installerade i Nederländerna. Och det medan kinesiska företag utgör en för stor risk för den nationella säkerheten det är inte tillåtet att bygga vitala delar av det holländska elnätet i Nordsjön..

Förra året slog Ursem larm vid Dutch Vulnerability Disclosure Institute. Han skickade sedan ett mejl till Solarman. Det kom inget svar, men lösenordet ändrades. Men i februari i år upptäckte Ursem att det gamla lösenordet fungerade igen. Läckan är nu åtgärdad. Såvitt känt orsakade han ingen skada.

Solarman, som har över 42 000 kunder i Nederländerna, hävdar som svar till RTLNieuws att lösenordet bara tillåter åtkomst till testmiljön, men medger att det gick att ändra mjukvaran på växelriktarna.

Uppdatering: I en tidigare version av denna artikel stod det att Solarman levererar solväxelriktare. Detta gäller dock programvara för inverterövervakning. Därför har artikeln ändrats.