Een Nederlandse hacker wist zonder noemenswaardige problemen binnen te dringen bij Solarman, een Chinees bedrijf dat zonnepanelen beheert voor ruim 42.000 klanten in Nederland. Via de panelen kon hij het stroomnet manipuleren en digitale aanvallen uitvoeren. Ook had hij toegang tot klantgegevens. Uiteindelijk moest de Nederlandse ambassade in China eraan te pas komen om het bedrijf te waarschuwen.

Dat schrijft Follow The Money.

Software-architect en ethisch hacker Jelle Ursem stuitte op het probleem. Op het ontwikkelaarsplatform GitHub vond hij het admin-account met bijbehorend wachtwoord van het Chinese bedrijf Solarman. Dat bleek een Chinese naam met daarachter de cijferreeks ‘123’. Naast het zwakke wachtwoord had de fabrikant van omvormers voor zonnepanelen ook geen tweefactorauthenticatie ingeschakeld.

Met deze gegevens had Ursem toegang tot een dashboard. Deze bevatte een klantenlijst met tienduizenden Nederlandse namen en adressen. Hij kon deze gegevens inzien en wijzigen. Ook kon de ethische hacker locatiegegevens bekijken, maar ook hoeveel stroom klanten opwekten, op welke manier hun zonnepanelen met internet waren verbonden en of er storingen in het systeem zaten. Verder kon hij diverse instellingen aanpassen. Wereldwijd kon hij bijna één miljoen omvormers bereiken.

Ursem kreeg de schrik van zijn leven toen hij zag dat hij de firmware van de omvormers van de zonnepanelen kon up- en downloaden. In theorie was het mogelijk om zelfgemaakte firmware te installeren. Daarmee is het mogelijk om het lokale netwerk van klanten te kapen en een netwerk van geïnfecteerde computers te creëren, ook wel een botnet genoemd. Het is dan mogelijk om een groot aantal omvormers uit te zetten of saboteren. Of het stroomnet te overbelasten.

De ethische hacker bedacht zich geen moment: zijn ontdekking had de potentie om voor gevaarlijke doeleinden gebruikt te worden. Ursem wilde Solarman waarschuwen, zonder daarbij zelf risico te lopen. Hij besloot om contact op te nemen met het Dutch Institute for Vulnerability Disclosure (DIVD).

Frank Breedijk van het DIVD benadrukt hoe gevaarlijk omvormers met aangepaste firmware wel niet zijn. “Een hacker kan zonnecellen snel en onvoorspelbaar laten uitvallen, door bijvoorbeeld eerst alle omvormers in de ene regio uit te zetten en vervolgens die in een andere regio”, vertelt hij aan Follow The Money.

Willem Westerhof, senior security specialist bij Secura, bevestigt de woorden van Breedijk. “Als je stroom op de verkeerde frequenties in het netwerk pompt, heb ik geen idee wat er gebeurt. En als er uit een omvormer 380 volt komt, met een andere frequentie dan de 50 Hertz van het stroomnet, weet ik niet wat er met je meterkast thuis gebeurt. Laat staan met hoogspanningskabels, als je zoiets op veel plekken tegelijk doet. Elke significante wijziging van de frequentie die terug het stroomnet ingaat, kan voor veel ellende zorgen.”

Het DIVD nam contact op met het Nationaal Cyber Security Centrum (NCSC). Die probeerde op zijn beurt Solarman en het Chinese Computer Emergency Response Team (CERT) te waarschuwen. Het NCSC kreeg van beide partijen geen reactie.

Uiteindelijk slaagde afgelopen mei een medewerker van de Nederlandse ambassade in China erin om de boodschap over te brengen naar CN-CERT. Half juni bezocht Victor Gevers van het DIVD samen met een werknemer van het ministerie van Buitenlandse Zaken de Chinese ambassade in Den Haag. Daarna ging het snel. Toen was het lek binnen 24 uur gedicht. Het kostte echter vijf maanden om door te dringen tot Solarman.

In een reactie tegenover RTL Nieuws laat Solarman weten dat het wachtwoord enkel toegang gaf tot een testomgeving. Het bedrijf bevestigt dat het mogelijk was om de software van de omvormers aan te passen. Om zich daartegen te wapenen zouden er extra waarborgen zijn ingebouwd in het dashboard. Tot slot benadrukt Solarman dat het lek niet tot echte schade heeft geleid en dat het samenwerkt met het DIVD om hun producten veiliger te maken.

Over veiligheid gesproken: vanaf 2024 gelden er strengere eisen voor slimme apparaten. Dergelijke producten mogen vanaf dan niet langer standaard een zwak wachtwoord gebruiken. Verder moeten ze getest zijn op veiligheidslekken, opgeslagen persoonlijke en financiële informatie afschermen en consumenten en organisaties de mogelijkheid geven om deze data te beheren en beschermen.