De omvormers van bijna een miljoen zonnepanelen ter wereld, waarvan tenminste 42.000 in Nederland, zijn zeer kwetsbaar geweest voor cyberaanvallen door slechte beveiliging van de backend systemen China. Dat hebben de Nederlandse hackers van het Dutch Institute for Vulnerability Disclosure ontdekt. Via eerder naar GitHub gelekte super admin wachtwoorden konden zij eenvoudig toegang krijgen tot het beheerpaneel van het Chinese bedrijf Solarman dat zonnepanelen, omvormers en batterijen in beheer heeft.
Solarman levert apparatuur en een platform om de energie opgewekt via lokale zonnepanelen te monitoren en zo mogelijk terug te leveren aan het stroomnet. DIVD hackers konden via het super admin account lijsten van duizenden Nederlandse namen en adressen inzien. In theorie konden ze klanten aanmaken of verwijderen en alle gegevens bekijken waaronder de hoeveelheid opgewekte stroom, of de panelen aan het internet verbonden waren en of er storingen in het systeem waren.
Een cybercrimineel met toegang tot dit beheerdersaccount zou, in theorie, nieuwe firmware kunnen uploaden naar deze inverters en er een groot botnet van kunnen maken met mogelijk desastreuze gevolgen voor het wereldwijde elektriciteitsnetwerk.. Het op tactische tijdstippen uit- en snel weer inschakelen van grote aantallen omvormers zou een klap voor het elektriciteitsnet zijn.
DIVD heeft op diverse manieren contact gezocht met Solarman om deze bevindingen te melden en het bedrijf ervan te doordringen dat hun systemen kwetsbaar zijn, maar elk antwoord bleef uit. Uiteindelijk is op verzoek van DIVD de Nederlandse Ambassade in China in actie gekomen om contact te leggen tussen de Nederlanders en Solarman. Ook de Chinese CERT, CN-CERT heeft hierbij een rol gespeeld. De inloggegevens zijn daarna gewijzigd.
Dit onderzoek heeft vorig jaar plaatsgevonden en is openbaar gemaakt tijdens het hackerskamp “MCH2022” in Zeewolde.
Reactie van de gemeente Vlissingen op de melding van DIVD. Wij zijn geschrokken van het bericht van DIVD dat de ICT beveiliging van de omvormers van onze zonnepanelen niet in orde blijkt. Tegelijkertijd zijn we ook blij dat we dit nu weten zodat we maatregelen kunnen nemen. De eerste maatregelen hebben we ook direct genomen zoals het loskoppelen van de systemen van het internet. Vanaf de omvormers is er nooit toegang tot andere gemeentelijke systemen mogelijk geweest. De komende tijd gaan wij in overleg met de leverancier om de beveiliging goed te regelen.