Hacker kon tienduizenden zonnepanelen saboteren door rondslingerend wachtwoord

De Nederlandse hacker Jelle Ursem ontdekte het wachtwoord in april 2021. Op dat moment stonden de inloggegevens ruim anderhalf jaar openbaar online. Iedereen die ze wist te vinden, kon daarmee in het administratorpaneel van het Chinese merk SolarMAN.

Omvormers zijn nodig om opgewekte stroom om te zetten in bruikbare elektriciteit. Zonder deze apparaten zijn zonnepanelen nutteloos. 

'Zeer onprofessioneel'

"Een wachtwoord dat voor iedereen toegankelijk was. Zo dom zijn we toch niet?", zegt Aiko Pras, hoogleraar internetveiligheid aan de Universiteit Twente. "Het gebeurt dus toch. De fouten zijn nog dommer dan je kan bedenken."

Hacker Ursem bracht het Chinese bedrijf vorig jaar op de hoogte, waarna het wachtwoord snel zou worden aangepast. Maar als de ethisch hacker in februari dit jaar opnieuw probeert in te loggen met het oude wachtwoord, komt hij gewoon weer binnen. Zeer onprofessioneel dat het Chinese bedrijf zo omgaat met zijn beveiliging, oordeelt hoogleraar Pras.

In de online-omgeving van SolarMAN is precies te zien waar de omvormers liggen. In Nederland zijn het meer dan 40.000 plekken. Wereldwijd gaat het om meer dan een miljoen locaties, vooral in China en Australië.

Zonnepanelen saboteren

Ook was het mogelijk om de technische aansturing van de apparaten te downloaden, aan te passen en naar de omvormers te uploaden, zegt Frank Breedijk van het Dutch Institute of Vulnerability Disclosure (DIVD) tegen RTL Nieuws.

"Als je de software van de apparaten kan aanpassen, kun je nare dingen doen", zegt Georgios Smaragdakis, hoogleraar cybersecurity aan de TU Delft. Zo zou je op afstand de apparaten kunnen uitzetten. Daardoor kun je opgewekte zonne-energie niet meer gebruiken voor je eigen huis of terugleveren aan het stroomnet. Dure zonnepanelen zijn daardoor nutteloos.

Het DIVD

Het Dutch Institute for Vulnerability Disclosure (DIVD) is een organisatie van hackers en beveiligingsonderzoekers die het internet veiliger willen maken. Dat doen zij door bedrijven en organisaties te informeren over aanwezige kwetsbaarheden.

In deze zaak werkte het DIVD samen met het Nationaal Cyber Security Centrum (NCSC) van de Nederlandse overheid. Die zocht in februari en april contact met de Chinese autoriteiten om het bedrijf achter SolarMAN te bereiken.

Op 2 juli werd het wachtwoord opnieuw gewijzigd en werd de pagina waar het online stond verwijderd. SolarMAN zegt in een reactie tegen RTL Nieuws dat het pas begin juli op de hoogte was van de kwestie.

Als een kwaadwillende genoeg omvormers beheert, zou het ook mogelijk zijn om het elektriciteitsnet te belasten. "Met tienduizenden apparaten, waarschijnlijk verspreid over heel Nederland, was echt schade aanrichten aan het stroomnet in dit geval lastig", zegt Smaragdakis. "Daarvoor zal je er toch honderdduizenden nodig hebben."

Dat betekent niet dat er geen gevaar kon ontstaan. "Een hacker kan de beveiligingsinstellingen rond de spanning zo aanpassen dat het ding in brand vliegt", zegt Pras van de Universiteit Twente.

Het Agentschap Telecom bevestigt de genoemde kwetsbaarheden. Als apparaten niet goed beveiligd zijn, kunnen mensen onder meer inkomsten uit zonne-energie mislopen. Ook wijst de toezichthouder op brandgevaar en, in het ergste geval, black-outs op het stroomnet.

"Als de omvormer is verbonden met je eigen wifi-netwerk, kan een hacker ook je internet platleggen", zegt de hoogleraar internetveiligheid.

"Als je een omvormer volledig kan omprogrammeren, kun je hem ook stukmaken of de leverancier buitensluiten", zegt Breedijk van het DIVD, die de casus vandaag op een podium van een hackersfestival in Zeewolde presenteerde. "Eigenlijk kun je het apparaat volledig naar je pijpen laten dansen."

Groter probleem

Het is niet de eerste keer dat apparatuur rond zonnepanelen kwetsbaar blijkt. In 2017 liet hacker Willem Westerhof op hetzelfde hackersfestival zien dat hij een Duitse fabrikant van omvormers kon hacken.

"Ik ging toen bewust op zoek naar een bedrijf dat in mijn ogen het best beveiligd zou zijn", blikt de hacker terug. "Zo wilde ik aantonen dat de situatie bij de rest waarschijnlijk nog veel slechter zou zijn."

Ook zal het niet de laatste keer zijn, voorspellen deskundigen. "Het is naïef om te denken dat dit de enige fabrikant is die onprofessioneel met beveiliging omgaat", zegt Pras.

'Steeds gevaarlijker'

"Grote kans dat we dit vaker gaan zien", zegt Smaragdakis van de TU Delft. "De volgende keer gaat het misschien wel om een hack van honderdduizenden apparaten."

Smaragdakis: "Helaas worden steeds meer apparaten verbonden aan het internet. Daar beginnen de problemen. Iedereen van over de hele wereld kan er verbinding mee maken."

"Dat is het probleem", zegt Westerhof. "Dit laat zien dat iemand die een beetje kan googelen, opeens in onze apparaten kan. Dat kan iedereen zijn die schade wil veroorzaken. Dit wordt steeds gevaarlijker."

Reactie SolarMAN

SolarMAN laat in een reactie weten dat het wachtwoord enkel toegang gaf tot een testomgeving. Toch waren daar gegevens van echte klanten te zien, zoals de gemeente Vlissingen. Die laat weten de omvormers van het internet te hebben losgekoppeld.

Het Chinese bedrijf bevestigt dat het inderdaad mogelijk was om op het online platform eigen software voor omvormers te uploaden, maar geeft aan dat er extra waarborgen waren om de controle over te nemen. Daardoor zou het niet mogelijk zijn om de omvormers aan te passen.

Het incident heeft voor zover bekend niet tot echte schade geleid en het lek is nu gedicht. SolarMAN geeft aan met de DIVD samen te werken om hun producten veilig te maken.