IoT-securitygebrek zonnepaneel leidt tot Tele2-belhack - UPDATE

De vaste telefoonverbinding van Wout Beute uit Gouda is tijdens zijn vakantie door onbekenden gebruikt om voor 7000 euro te bellen. De klant van Tele2 kwam hier tijdens zijn vakantie achter toen hij op de camping zijn toegemailde telefoonrekening opende, meldt het AD. De foonfraudeurs hebben massaal gebeld, veelal in blokken van tien minuten, naar verre landen als Nigeria, Sierra Leone en Nauru (nabij Australië).

Rekening kwijtgescholden

Het slachtoffer stelt dat er niemand thuis was, dat de huisoppassende buurman te vertrouwen is, en dat er geen sporen van (fysieke) inbraak zijn. Hij heeft aangifte gedaan en direct contact opgenomen met Tele2. Die heeft aanvankelijk de verantwoordelijkheid voor het belgedrag bij die klant neergelegd, maar uiteindelijk de opgedreven rekening toch kwijtgescholden.

De telecomprovider verklaart tegenover het AD dat er vermoedelijk een hack is gepleegd, mogelijk via het zonnepaneel van Beute. Dit klinkt vergezocht, maar zonnepanelen zijn voorzien van omvormers die vaak een WiFi-verbinding hebben. Tele2 spreekt van “een onvoldoende beveiligd zonnepaneel” als mogelijke ingang voor de digitale inbrekers. Dit zou dan wel inhouden dat de hack lokaal is geïnitieerd; binnen bereik van de WiFi-module van het zonnepaneel.

Onveilige omvormers

Volgens Tele2 is Beute - indien dit hackscenario daadwerkelijk heeft plaatsgevonden - de eerste in Nederland die op deze manier is gehackt. Het lijkt daarmee nog mee te vallen: bijna een jaar geleden heeft een Nederlandse security-expert een reeks kwetsbaarheden onthuld in omvormers van marktleider SMA. Hij heeft die eerder ontdekt en eind 2016 stilletjes gemeld bij de fabrikant en het NCSC plus stroomnetbeheerder Tennet.

Naast technische fouten in die apparatuur (zoals crashes door afgevuurde datapakketten en wijzigingsmogelijkheden voor de tijdsinstelling zonder authenticatie) is er ook sprake van zwak wachtwoordbeleid (maximaal 12 tekens), gebrek aan afweer tegen meerdere inlogpogingen (brute force aanvallen), en geen verplichte instelling van een eigen wachtwoord. Daardoor zouden vaak standaardwachtwoorden als 0000 of 1111 automatisch worden gebruikt.

Via LAN naar VoIP

Deze openbaarmaking heeft toen brede aandacht gekregen, die vooral gericht was op risico’s voor het stroomnet. Naar het nu lijkt, zijn er dus ook gevaren voor andere hackvormen. Via de WiFi van de omvormer van het zonnepaneel zouden hackers bij Beute toegang tot zijn lokale netwerk en vaste telefoonverbinding hebben gekregen. Hiervoor zou dan echter ook nog de VoIP-router gehackt moeten zijn. AG Connect heeft vragen hierover per mail uitgezet bij de persvoorlichter van Tele2, die telefonisch niet bereikbaar bleek.

Update:

Tele2 spreekt tegenover AG Connect de conclusie tegen dat de telefoonfraude is gepleegd via een hack van de zonnepaneelomvormer. De woordvoerder van het bedrijf zegt in een verklaring dat Tele2 telefoonverkeer bij deze klant heeft vastgesteld waarvan de klant aangeeft dat hij hiervoor niet verantwoordelijk is. "Vanzelfsprekend zijn er een aantal mogelijkheden waardoor het verkeer heeft kunnen plaatsvinden: via de klant, via derden, of via hacks van op zijn verbinding aangesloten devices."

Laatstgenoemde zou dan een wifi-connected omvormer voor een zonnepaneel kunnen zijn, maar dus ook een geheel ander apparaat of computer. "De conclusie zonnepaneel is niet voor onze rekening", aldus woordvoerder Robin Janszen van Tele2. De reputatiemanager en expert in crisiscommunicatie wordt door het AD opgevoerd als aandrager van de mogelijkheid dat het zonnepaneel de hackingang was. Janszen spreekt tegenover AG Connect van "een nogal onzorgvuldig bericht van het AD". AG Connect heeft vervolgvragen uitgezet, ook bij de krant.

Het is echter zeer de vraag of de daadwerkelijke oorzaak valt te achterhalen. Janszen laat namelijk weten: "Inmiddels heeft onze technicus ter plekke de setup bekeken. Omdat settings zijn gereset en de beveiligingsinstellingen veilig zijn ingesteld, is het onmogelijk vast te stellen wat er precies gebeurd is - behalve dat het gebeurd is."

Update2:

Woordvoerder Janszen van Tele2 heeft tegenover het AD de mogelijkheid van een zonnepaneelhack inderdaad genoemd. Hij zet zich nu echter af tegen de conclusie dat de telefoonfraude middels deze weg is gepleegd. Op vragen van AG Connect over de reset van de instellingen, en de veilige instelling van de beveiliging bij de klant, kan hij geen antwoorden geven. "Over de klantsituatie kan ik uit privacyoverwegingen weinig zeggen. De instellingen zijn niet door ons gereset; de beveiligingsinstellingen zoals door ons aangetroffen waren secure."