Tienduizenden zonnepanelen waren te saboteren via rondslingerend wachtwoord

Tienduizenden zonnepaneelinstallaties waren kwetsbaar voor sabotage door een wachtwoord dat op internet rondslingerende. Met behulp van dit wachtwoord konden kwaadwillenden toegang krijgen tot monitoringssoftware voor omvormers. Zo konden zij onder meer zonnepanelen uitschakelen. Wereldwijd waren een miljoen installaties kwetsbaar.

Het wachtwoord is ontdekt door de Nederlandse hacker Jelle Ursem, meldt RTL Nieuws. Ursem vond het wachtwoord in april 2021. Het wachtwoord gaf toegang tot het beheerderspaneel van het Chinese bedrijf SolarMAN. De gegevens zouden in april 2021 al ruim anderhalf jaar lang online hebben gestaan.

Wachtwoord niet aangepast

Ursem stelde het Chinese bedrijf op de hoogte, dat toe zei het wachtwoord op korte termijn aan te passen. In februari 2022 probeerde de hacker opnieuw in te loggen met het eerder ontdekte wachtwoord. Dit bleek in de praktijk niet aangepast te zijn, waardoor hij opnieuw kon inloggen.

Via het beheerderspaneel kunnen kwaadwillenden onder meer zonnepaneelinstallaties saborteren. Zo konden zij de technische aansturing van de apparaten aanpassen via de omvormers. Dit maakt het onder meer mogelijk zonnepanelen uit te schakelen, waardoor geen zonne-energie wordt opgewekt.

Elektriciteitsnetwerk belasten

Georgios Smaragdakis, hoogleraar cybersecurity aan de TU Delft, waarschuwt tegenover RTL Nieuws dat de risico's echter groter zijn. Indien een kwaadwillende voldoende omvormers onder controle krijgt, kan hiermee in theorie ook het elektriciteitsnetwerk worden belast. Smaragdakis denkt dat hiervoor honderdduizenden van deze apparaten nodig zijn. Het risico in Nederland was op dit vlak beperkt; via de software konden zo'n 40.000 Nederlandse zonnepaneelinstallaties worden bereikt.