Ghostarchive

Archived on: Mon, 13 Apr 2026 08:58:43 GMT
See other archives of this page - See other archives of tweakers.net
The Wayback Machine - https://web.archive.org/web/20220725082638/https://tweakers.net/nieuws/199310/hacker-kon-software-van-zonnepanelen-met-omvormers-chinese-solarman-aanpassen.html
sluiten

Tweakers Awards: laatste kans om te stemmen

Laatste kans om op jouw favoriete technologie- en elektronicamerken te stemmen! Heb jeย nog niet gestemd maar wil je wel graag jouw stem laten gelden? Het is nog niet te laat, je kunt tot en met donderdag 28 juliย stemmen.

Breng nu je stem uit

Hacker kon software van zonnepanelen met omvormers Chinese Solarman aanpassen

De Nederlandse hacker Jelle Ursem wist toegang te krijgen tot het systeem van het Chinese Solarman, dat omvormers voor zonnepanelen levert. Hij kon de namen en adressen van klanten inzien en veranderen. Ook was het mogelijk om de firmware van de omvormers aan te passen.

Ursem, die op Tweakers bekend staat als SchizoDuckie, vond de inloggegevens van het systeem via Github en kreeg daarmee toegang tot het admin-portaal van Solarman, meldt Follow the Money. Het wachtwoord bestond uit een Chinese naam met '123' erachter. Tweefactorauthenticatie was niet ingeschakeld. Ursem zoekt als ethisch hacker vaak op Github en dergelijke platforms naar repo's waar wachtwoorden of api-keys in staan opgeslagen. Tweakers sprak hem daar eerder dit jaar over.

Met de inloggegevens was het mogelijk om de persoonsgegevens van Nederlandse klanten in te zien. Ursem zegt dat hij nieuwe gebruikers kon aanmaken en bestaande gebruikers kon verwijderen. Daarnaast kon hij onder meer de gps-coรถrdinaten en de hoeveelheid stroom die de zonnepanelen opwekken inzien. Ook was het mogelijk om de firmware van de omvormers te downloaden, aan te passen en weer te uploaden.

Aanvallers met toegang tot het systeem konden de zonnepanelen van Solarman-klanten zelfs op afstand uitschakelen of onklaar maken. Daarnaast zou een hacker het internet van eigenaren van zonnepanelen kunnen platleggen als de omvormer is verbonden met het thuiswifinetwerk. Ook is er kans op brandgevaar als de beveiligingsinstellingen rond de spanning op een bepaalde manier worden aangepast.

Daarnaast kwam Ursem tot de ontdekking dat de klantendata naar China worden gestuurd, wat in strijd is met de AVG. Ook kan China op afstand de omvormers van in Nederland geplaatste zonnepanelen beheren. En dat terwijl Chinese bedrijven vanwege een te groot risico voor de staatsveiligheid geen vitale delen van het Nederlandse stroomnet op de Noordzee mogen bouwen.

Ursem trok vorig jaar aan de bel bij het Dutch Institute for Vulnerability Disclosure. Dat stuurde vervolgens een mail naar Solarman. Een reactie kwam er niet, maar het wachtwoord werd wel aangepast. In februari van dit jaar ontdekte Ursem echter dat het oude wachtwoord toch weer werkte. Inmiddels is het lek gedicht. Voor zover bekend heeft het niet tot schade geleid.

Solarman, dat in Nederland meer dan 42.000 klanten heeft, beweert in een reactie aan RTLNieuws dat het wachtwoord enkel toegang gaf tot een testomgeving, maar geeft toe dat het mogelijk was om de software van de omvormers aan te passen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Sabine Schults

Redacteur

Feedback โ€ข 25-07-2022 09:36
34 โ€ข submitter: Stukfruit

25-07-2022 โ€ข 09:36

34 Linkedin

Submitter: Stukfruit

Lees meer

Community-interview met SchizoDuckie

'Ik kwam bij Philips binnen toen ik op de wc zat'

 150
Dierentuin Artis betaalde geen losgeld aan criminelen achter ransomwareaanval Nieuws van 18 juli 2022
Hack van Chinese politieservers legt mensenrechtenschendingen in Xinjiang bloot Nieuws van 24 mei 2022
Beveiliging en antivirus Politiek en recht China Hackers Zonnepanelen

Reacties (34)

-Moderatie-faq
-134033+121+24+30Ongemodereerd11
Wijzig sortering
+2HKLM_
25 juli 2022 09:43
Een reactie kwam er niet, maar het wachtwoord werd wel aangepast. In februari van dit jaar ontdekte Ursem echter dat het oude wachtwoord toch weer werkte.
Dit klink gewoon als, we hebben het wachtwoord veranderd maar dan gaan er dingen stukโ€ฆ we veranderen het weer terug :P

[Reactie gewijzigd door HKLM_ op 25 juli 2022 09:43]

Reageer
+1Skit3000
@HKLM_ โ€ข 25 juli 2022 10:06
Wauw, dit lijkt op een soortgelijk lek dat ik eerder al heb gevonden in de portal van Omnik, dat op de achtergrond altijd al via Solarman draaide en die in 2021 hun complete database er naartoe migreerde. Destijds ging het niet om een wachtwoord, maar kon je je letterlijk als elke gebruiker voordoen door de userid in een URL aan te passen.

[Reactie gewijzigd door Skit3000 op 25 juli 2022 10:19]

Reageer
+1jpsch
25 juli 2022 09:40
Klinkt alsof er nog steeds ongewild data naar China gaat.
Reageer
+2GertMenkel

@jpsch โ€ข 25 juli 2022 09:43
Ik hoop dat het AP hier probeert in te grijpen. Als ze hiermee wegkomen kunnen we net zo goed geen AVG hebben.

Niet dat ik verwacht dat de boete betaald zal worden, overigens.
Reageer
+2i-chat
@GertMenkel โ€ข 25 juli 2022 09:54
probleem zal zijn dat deze hacker dan wel eerst contact had moeten zoeken met de AP om hen bewijzen te overhandigen (te laten zien wat er werkelijk gebeurt) want nu gaat zo'n bedrijfje ergens in het verre china natuurlijk never-nooit meewerken aan een GDPR-onderzoek

- Enig optie is om direct alle betrokken importeurs en verkooppunten aan te schrijven en hen te dwingen tot een terugroepactie (zij hebben producten verkocht die non-conform de wet zijn) maar gok ik dat je HEEL veel bedrijven met een HELE grote strop opzadelt.
Alternatief is dat de firmware wordt 'gejat' door een Europees bedrijf en dat zij op deze aanpassen naar iets dat wel in lijn is met de wet.... maar dat kost ook bakken met geld..

Het laat wel weer zien dat je die chinezen toch weer niet kunt vertrouwen... (al weet je dat van Amerikaanse bedrijven vaak evenmin)... Erg jammer dit,

[Reactie gewijzigd door i-chat op 25 juli 2022 09:56]

Reageer
+1Videopac
@i-chat โ€ข 25 juli 2022 10:05
Bedrijven moeten er zeker van zijn dat de produkten die ze verkopen aan de wet voldoet, dus ook aan de GDPR eisen. Het minste wat er gedaan kan worden is de verkoop per direct stoppen, totdat bewezen is dat het weer aan de eisen voldoet.
Reageer
+1SambalBij
@i-chat โ€ข 25 juli 2022 10:09
"maar gok ik dat je HEEL veel bedrijven met een HELE grote strop opzadelt."
Tja... Hebben die bedrijven zichzelf niet die strop alvast omgehangen toen ze goedkope chinese zooi gingen verkopen?
Je kunt, als de afgelopen jaren tenminste niet onder een steen hebt gelegen, nou niet zeggen dat dit risico er niet was en dat dit niet in de lijn der verwachting lag.
Dus nu dan ook niet gaan klagen wanneer de autoriteiten nu het krukje onder die strop een schop geven...
Reageer
+2avlt
@jpsch โ€ข 25 juli 2022 09:49
Verast je dat? Ik vraag me al de hele tijd af hoe de Nederlandse of andere Europese AP dergelijke bedrijven die zo op de cloud leunen kan controleren.
Hoe kan de Nederlandse AP controleren of Meta, Google, Microsoft echt hun Europese data in Europa houden? Alle datacenters zitten met hele dikke pijpen aan elkaar vast; die data is in een oogwenk over de hele wereld verdeeld.
Reageer
0ToolBee
@jpsch โ€ข 25 juli 2022 10:01
Nee hoor, dat is gewoon gepland. ;)
Reageer
+1jpsch
25 juli 2022 09:45
Waarom zitten er echte gegevens in een testomgeving?
Reageer
+1Honbrifcl
@jpsch โ€ข 25 juli 2022 09:49
Vaak wordt het testsysteem (nieuw) gegenereerd door een (actuele) kopie van het productiesysteem te maken zodat het testsysteem ook in lijn blijft met het productiesysteem. Data wordt dan gewoon meegekopieerd.
Reageer
0The Zep Man

@Honbrifcl โ€ข 25 juli 2022 10:21
Vaak wordt het testsysteem (nieuw) gegenereerd door een (actuele) kopie van het productiesysteem te maken zodat het testsysteem ook in lijn blijft met het productiesysteem. Data wordt dan gewoon meegekopieerd.
Alleen als je het systeem slecht ontwerpt en niet code weet te scheiden van data.
Reageer
+1IStealYourGun
@jpsch โ€ข 25 juli 2022 09:51
Gebeurt wel vaker bij actieve systemen. Maar net die omgevingen zijn doorgaans niet zomaar toegankelijk van buiten.
Reageer
+1Henk1827
25 juli 2022 09:50
Alleen toegang tot de testomgeving, en toch is het mogelijk de firmware van de omvormers aan te passen. Solarman vertelt even publiekelijk dat hun testomgeving is gekoppeld aan hun live systemen. Wat een onkunde.
Reageer
+1i-chat
@Henk1827 โ€ข 25 juli 2022 10:00
testomgeving was gewoon een leugentje om ... van het gezeik af te zijn, ja nee testomgeving maak je niet druk.
Reageer
+1_Eend_
@Henk1827 โ€ข 25 juli 2022 10:01
Iedereen heeft een testomgeving. Sommige mensen hebben het geluk om een volledig aparte productie omgeving te hebben :+
Reageer
+1Bramtweakers
25 juli 2022 09:46
Is er naast het inzien van verbruik nog een andere reden waaromje een omvormer uberhaubt aan internet moet hangen? In mijn geval wil het bedrijf van de omvormer zelfs dat ik een app installeer...
Reageer
+1beerse
@Bramtweakers โ€ข 25 juli 2022 09:55
Tja, IoT?

Enneh, zelfs het inzien van het verbruik zou ik niet op internet willen, net zoals mijn electriciteitsverbruik.
Reageer
0Videopac
@Bramtweakers โ€ข 25 juli 2022 10:06
Inzien van verbruik zou toch ook zonder internet moeten kunnen, toch?
Reageer
0Bramtweakers
@Videopac โ€ข 25 juli 2022 10:17
Misschien dat het via een offline netwerk kan? Heb ik niet geprobeerd omdat ik heb niet op internet heb aamgesloten.
In principe is het de bedoeling dat ik het aan internet hang waarna ik het verbruik kan volgen in hun app.
Offline uitlezen staat niet als een optie in de handleiding.
Reageer
+1Kecin
25 juli 2022 09:48
Zeer vervelend dat die backdoors er zijn. Zie je ook veel op oude SCADA systemen. Duidelijk verschil tussen installateur en de software-kant boer. Toen ik ze hier kreeg waren er de jongens die ze kwamen aansluiten en ook een jongen die de software ging regelen. Die kon me ook over de API zaken uitleggen. Nu is het zo dat lang niet elke zonnepaneelboer zo in elkaar steekt of weet dat dit gebeurd. Zelfde lees ik ook wel over aircoโ€™s op wifi, warmtepompen die bij het nieuwe huis komen en meer smart apparaten die toch echt wel belangrijk zijn om dicht te timmeren.

Nu kan je tegen een backdoor weinig doen. Bij iedereen een vlan in te stellen en firewall rules gaat ook weer zover. Dit moet geregeld worden via de importeur en de maker van het product.
Reageer
+1beerse
@Kecin โ€ข 25 juli 2022 09:59
Als je het thuis netwerk met meer dan alleen 1 vast netwerk en 1 wifi netwerk hebt, met bijvoorbeeld een dmz voor je webserver een een gast-wifi, dan zou ik ook een afgesloten IoT netwerk opzetten en daar alle smart-home zaken aan koppelen. Die hoeven zelf alleen maar af en toe naar buiten voor een software/firmeware update en verder niet.
Reageer
0Bramtweakers
@beerse โ€ข 25 juli 2022 10:20
Zijn de softwareupdates ook nodig als er geen beveiligingsupdates nodig zijn*?
*alleen wanneer het product goed werkt bij aankoop, zoals een oven, droger, lampen, wasmachine, omvormer en slimme schakelaars
Reageer
0bwerg
@Kecin โ€ข 25 juli 2022 10:24
Nu is het zo dat lang niet elke zonnepaneelboer zo in elkaar steekt of weet dat dit gebeurd.
Ik kan me ook herinneren dat een installateur zonnepanelen op mijn vorige huurhuis kwam leggen, en me uitlegde dat ik even op dat ding moest inloggen om hem in mijn eigen wifi-netwerk te hangen. Dat inloggen kon gewoon via een ander wifi-netwerk dat de omvormer zelf aanmaakt. Ik vroeg wat het wachtwoord van dat wifi-netwerk was, maar die was er niet, dat netwerk stond gewoon open. Of een wachtwoord niet nodig was? Hoezo dan, je kan toch niks spannends doen via dat netwerk? Wat die veldjes in de web-interface zijn om de spanningsregeling aan te passen? Neuh, niet interessant. Of je via dat andere wifi-netwerk dan niet op mijn persoonlijke netwerk kon komen? Wat een moeilijke vragen, het werkt toch.

[Reactie gewijzigd door bwerg op 25 juli 2022 10:24]

Reageer
+1jongerenchaos
25 juli 2022 09:46
Ik heb dit zelf ook al eerder nog extremer gezien. In een nieuwbouwwijk in oa Tiel hebben ze ook dit type zonnepanelen geplaatst.Het meest bizarre was dat alle AP's van de zonnepanelen als netwerk via WIFI open stonden, zonder wachtwoord. Hierdoor was het mogelijk om zelf in te loggen en wachtwoorden te wijzen en instellingen.

Overigens is het nog steeds niet opgelost en is het grootste deel van de panelen nog steeds bereikbaar via een AP zonder WPA sleutel.
Reageer
+1bartje
25 juli 2022 09:48
er zijn hier redelijk wat dingen kwalijk en gevaarlijk te noemen.
Dit is namelijk heel makkelijk uit te buiten voor cyberspionage en ook kan er dus vanuit china invloed uitgeoefend worden op onze energievoorziening.

We hebben de problemen bij meer merken gezien(telefoons en netwerk infra en cameras). Wat mij betreft verbieden deze partij, maar daar zal meer bewijs voor nodig zijn dan de bevindingen van 1 persoon denk ik.
Reageer
0bwerg
@bartje โ€ข 25 juli 2022 10:16
Wat mij betreft verbieden deze partij
Probleem is een beetje dat de juridische opties tot ingrijpen maar zeer beperkt zijn.

Deels kan de AP hier ingrijpen maar allereerst is die veel te onderbezet om de grote bergen "alibaba-troep" allemaal te gaan controleren en handhaven, en ten tweede gaan die alleen over persoonsgegevens, niet over het andere probleem dat hier speelt, namelijk beveiliging en veiligheid van zonnepanelen - dat iemand op afstand bij wijze van spreken je apparaat in de fik kan zetten.

Dan heb je nog de route van 'non-conforme producten', dat is wel zo breed opgezet dat hier zowel privacylekken als beveiliging als veiligheid onder kunnen vallen, maar die route is heel indirect: dan moet een consument zelf aan de bel trekken bij degene waar hij het paneel gekocht heeft, en die moet weer naar de fabrikant, eventueel nog met een leverancier als tussenpartij. Bij elke schakel zal slecht een klein gedeelte van de consumenten/aannemers/leveranciers echt werk maken van de gebreken van deze zonnepanelen, dus die ene klager die daadwerkelijk bij de fabrikant terecht kan vrolijk genegeerd worden.

Wat mij betreft zou gewoon een keiharde "blacklist" van producten of fabrikanten hier niet misstaan. Hup, van de markt deze troep. En laat de fabrikant zelf maar moeite doen om aan te tonen dat ze hun leven gebeterd hebben, want als officiรซle instanties als de AP dat allemaal zelf moeten onderzoeken zijn ze over 1000 jaar nog niet klaar.
Reageer
+1F5544
25 juli 2022 09:53
Gevaarlijke ontwikkeling dat ze vanuit china het volledige beheer hebben van je zonnepanelen en hiermee dus indirect ook een bedreiging voor de samenleving kunnen vormen. Ze kunnen op afstand je huis in brand zetten. Ook dat gebruikersdata en GPS gegevens doorgezet wordt. China begint iedereen op de wereld te kennen inmiddels.
Reageer
0satya
25 juli 2022 10:12
Ik vermoed dat de data van Solaredge ook niet in Europa blijft maar naar de verenigde staten gaat. En ook hier bestaat de kans dat een buitenlandse mogendheid invloed heeft op de Nederlandse stroomvoorzieningen.
Reageer
1 2


Om te kunnen reageren moet je ingelogd zijn

Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fฤ“nix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden ยฉ 1998 - 2022 โ€ข Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee