Niet alleen Nokia kan er wat van. Ook het Duitse AEG blijkt lang persoonsgegevens van onder anderen Nederlanders naar China te hebben gelekt. Het gaat daarbij om gebruikers van zonnepanelen die AEG omvormers gebruiken.
Het datalek van AEG Industrial Solar kwam aan het lek via een lezer van Tweakers.net. Die ontdekte dat de persoonsgegevens die bij de omvormer horen, op een server in China werden opgeslagen. Die server bleek te draaien op verouderde software. De gebruiker heeft eerst keurig via de officiële kanalen AEG getipt over het lek. Na maanden geen actie te hebben gezien, heeft de gebruiker besloten tweakers.net in te lichten over het lek.
Deutsche gründlichkeit
Het datalek ontstaat door het Chinese bedrijf INVT. AEG Industrial Solar blijkt daar de omvormers en de software in te kopen. AEG plakt er enkel het eigen logo op. De onderbouwing van AEG is dat “vrijwel niemand” omvormers in Europa produceert waarbij het verlies bij omvormen zo laag is als bij INVT. Voor zover de deutsche gründlichkeit.
Erg gemakkelijk te hacken
De server zelf kon via simpele GET requests worden uitgevraagd. Inclusief data van de admin account. In totaal stonden de persoonsgegevens van 19.000 gebruikers wagenwijd open. Daarvan zijn er zeer waarschijnlijk 1.542 van Nederlanders. Daar stond het land in ieder geval op Nederland. Doordat er geen spraken was van rate limiting, kon het leeghalen van de server compleet geautomatiseerd worden zonder rare fratsen uit te halen.
Gevaarlijke situaties
Gevaarlijker nog, was dat de server ook POST requests accepteerde om de omvormers van gebruikers live in te stellen. Handig voor monteurs en onhandig voor iedereen die AEG gebruikers schade zou willen toedoen. Zo was het mogelijk de inverter op afstand uit te schakelen, maar ook om de spanning te verhogen of te verlagen.
“AEG Laat je niet in de steek”
De slogan van AEG is al jaren ”AEG laat je niet in de steek”. Het bedrijf heeft nu Duitse ontwikkelaar ingehuurd om de problemen op te lossen en te zorgen dat de persoonsgegevens van haar klanten voortaan in Europa worden opgeslagen.
Nieuwe hardware nodig
Er blijkt nog een onhandigheidje te zijn met de omvormers. Bij de omvormer zit een WiFi stick die de overdracht van de persoonsgegevens naar China regelt. Deze blijkt niet met een software update te kunnen worden aangepast. In China laat AEG nieuwe sticks maken die de persoonsgegevens doorzetten naar een server in Europa. Voor de uitlevering hiervan heeft AEG 4 weken nodig. Op het moment dat Tweakers besloot te publiceren, was het bedrijf al twee weken bezig. Met twee weken zouden alle klanten van een nieuwe stick voorzien worden. En wij hopen dat AEG daarvan wel de software kan updaten. Hoewel de oude server wel deels is aangepast, blijft er voorlopig dus nog spraken van een datalek.
En de AVG dan?
Of dit lek nog een staartje krijgt met de AVG, en bezitters van AEG omvormers een schadevergoeding krijgen, is nog onbekend. Daarvoor zullen bezitters wellicht eerst een melding moeten maken bij de Autoriteit Persoonsgegevens. Recent kreeg een inwoner van de gemeente Deventer een schadevergoeding van €500 omdat de gemeente onbevoegd de naam van de inwoner deelde met andere gemeenten. AEG speelde meer dan alleen een naam door en het is twijfelachtig of heir spraken is van adequate beveiliging, zoals de wetgever dit voorschrijft. Als eigenaar van een AEG omvormer is de kans groot dat je hier een flinke schadevergoeding uit kunt trekken. Vanuit AEG zelf lijkt het er niet op dat er een tegemoedkoming is voor de gedupeerden.