Onderzoekers van het Dutch Institute for Vulnerability Disclosure (DIVD) zijn erin geslaagd om wereldwijd miljoenen zonnepaneelsystemen van fabrikant Enphase op afstand over te nemen.
De eerste problemen vond DIVD-onderzoeker Wietse Boonstra in het accountbeheer van Enphase-apparatuur. Onderzoekers ontdekten nog zes andere beveiligingslekken in Enphase IQ Gateway, voorheen Enphase Envoy genaamd. Deze regelt de communicatie via de micro-omvormers van zonnepanelen en de Enphase-app. Door van drie van de beveiligingslekken in combinatie gebruik te maken, kon een ongeauthenticeerde gebruiker op afstand commando’s op het systeem uitvoeren. Via een aanval op de zonnepaneelsystemen was het stroomnet te ontregelen.
“Een gateway is alleen kwetsbaar als de Enphase-apparatuur is gekoppeld aan een niet-vertrouwd netwerk, zoals het openbare internet of een gastennetwerk thuis. Volgens de fabrikant zijn er zo’n vier miljoen systemen geïnstalleerd in meer dan 150 landen”, aldus het DIVD in een persbericht.
Klik hier voor het bericht van het DIVD.
