O Instituto Holandês de Divulgação de Vulnerabilidades (DIVD) informou que dois hackers holandeses descobriram seis novas vulnerabilidades em dispositivos Enphase IQ Gateway, anteriormente conhecidos como Enphase Envoy.
A fabricante de microinversores com sede nos EUA produz dispositivos eletrônicos que permitem a comunicação entre microinversores de sistemas fotovoltaicos em telhados e seu software de monitoramento baseado em nuvem.
Mais de 4 milhões de dispositivos em 150 países foram expostos ao potencial de aquisição maliciosa. A combinação de três das seis vulnerabilidades poderia ter permitido que invasores em potencial assumissem o controle total do gateway Enphase IQ e dos sistemas fotovoltaicos.
Wietse Boonstra e Hidde Smit, da DIVID, relataram vulnerabilidades à Enphase em 17 de abril de 2024. A Enphase respondeu no dia seguinte e começou a colaborar com os pesquisadores. As vulnerabilidades estão sendo abordadas e espera-se que sejam resolvidas na próxima versão do produto.
A DIVD disse que continua a trabalhar com a Enphase para identificar os gateways Envoy IQ vulneráveis e expostos restantes em todo o mundo, a fim de facilitar o processo de correção. No entanto, disse que um dispositivo só é vulnerável se o equipamento Enphase for exposto “a uma rede não confiável, como a Internet pública ou uma rede doméstica”.
A Enphase ainda não respondeu ao pedido da pv magazine para obter mais detalhes sobre o assunto.
O DIVD levantou preocupações sobre um “aumento preocupante de vulnerabilidades” em meio à rápida transição energética. À medida que as redes inteligentes e os dispositivos da Internet das Coisas são integrados, o setor enfrenta um risco maior, provavelmente devido à inovação que supera as medidas de segurança.
“Dada a importância do setor, priorizar a segurança cibernética é essencial para se proteger contra essas ameaças crescentes”, disse o DIPD.
Em 12 de agosto, a Agência Empresarial da Holanda (Rijksdienst voor Ondernemend Nederland) divulgou um relatório sobre vulnerabilidades nos sistemas de energia solar holandeses. O estudo descreve três cenários potenciais de ataques cibernéticos em instalações solares, envolvendo atores que vão desde hackers a empresas mal-intencionadas. Também avalia estratégias de mitigação para prevenir ou reduzir o impacto de tais ataques.
Os três cenários são resumidos da seguinte forma:
- Uma gangue de ransomware pode explorar portais de nuvem para assumir contas de grandes instaladores e extorquir operadores de parques solares.
- Os criminosos podem acessar e danificar inversores por meio de uma atualização de software online, especialmente se dezenas de milhares de inversores com senhas padrão forem comprometidos por um botnet.
- Uma entidade estatal poderia ter como alvo as cadeias de suprimentos, usando armas cibernéticas para atacar infraestruturas vitais, apreendendo equipamentos em meio a crescentes tensões geopolíticas.
“No DIVD, esperamos sinceramente que medidas preventivas sejam tomadas para lidar com vulnerabilidades e fraquezas antes que ocorra um desastre. Já descobrimos e relatamos inúmeras vulnerabilidades nas estações de carregamento e seus back-ends”, disse o pesquisador Harm van den Brink. “E de acordo com um estudo sobre o impacto de um hack da infraestrutura de carregamento por Berenschot, uma queda de energia nos custaria pelo menos vários bilhões de euros por dia na Holanda.”
Este conteúdo é protegido por direitos autorais e não pode ser reutilizado. Se você deseja cooperar conosco e gostaria de reutilizar parte de nosso conteúdo, por favor entre em contato com: editors@pv-magazine.com.
Ao enviar este formulário, você concorda com a pv magazine usar seus dados para o propósito de publicar seu comentário.
Seus dados pessoais serão apenas exibidos ou transmitidos para terceiros com o propósito de filtrar spam, ou se for necessário para manutenção técnica do website. Qualquer outra transferência a terceiros não acontecerá, a menos que seja justificado com base em regulamentações aplicáveis de proteção de dados ou se a pv magazine for legalmente obrigada a fazê-lo.
Você pode revogar esse consentimento a qualquer momento com efeito para o futuro, em cujo caso seus dados serão apagados imediatamente. Ainda, seus dados podem ser apagados se a pv magazine processou seu pedido ou se o propósito de guardar seus dados for cumprido.
Mais informações em privacidade de dados podem ser encontradas em nossa Política de Proteção de Dados.