Eneco-site voor slimme energiemeters lek

26-05-2009 om 09:07


Een test op xss-lekken van alleen de inlogmodule van energiedataportal.nl maakt duidelijk in zes gevallen code geinjecteerd kan worden. In maarliefst 207 gevallen een waarschuwing wordt gegeven dat misbruik mogelijk is, maar niet in alle gevallen zal slagen. Daar komt het aan op de kwaliteiten van de browser van de gebruiker.

Bij het uitvoeren van 462 standaard tests op xss-lekken blijkt dan ook 46 procent in ieder geval te een waarschuwing te leiden.
 
Misbruik
De portal wordt gebruikt om klanten van Eneco inzicht te geven in het stroomgebruik. De informatie is afkomstige van 'slimme energiemeters' van het bedrijf. Na het verzamelen van de gegevens wordt de informatie inzichtelijk voor klanten gemaakt.
Nu er lekken op de website blijken te zitten, kunnen aanvallers kwaadaardige scripts naar niets vermoedende gebruikers sturen via een zogenaamde cross site scripting-aanval. Hierbij wordt code geïnjecteerd, die vervolgens afhankelijk van het systeem allerhande bewerkingen mogelijk maken.
 
Webwereld werd door een vertrouwde bron op de hoogte gebracht van het probleem. “Wanneer bedrijven dit soort websites gaan lanceren moet het toch zo zijn dat er tenminste wat aan veiligheid wordt gedaan”, verzucht de persoon. “Het is een kleine moeite het te doen, want ik kwam hier met twee minuten achter. Dat kunnen zij toch ook?”
 
Niet in eigendom
Verdere analyse door Webwereld maakt duidelijk dat de xss-lekken niet het enige probleem is. Het domein blijkt niet het eigendom van Eneco te zijn, maar aan een particulier toe te behoren. Navraag bij de energieleverancier leert dat deze persoon ook de 'tijdelijke versie' van de website beheert.
Ook dit is een beveiligingsrisico, omdat de eigenaar van een domein het verkeer kan omleiden, onderscheppen of de hele website uit de lucht kan halen. Daarnaast blijken nu klantgegevens onder het beheer van een particuliere partij te staan.

Eneco's website voor slimme energiemeters zit vol met beveiligingslekken. Ook is het domein niet eigendom van het bedrijf, waardoor datadiefstal op de loer ligt.

Les de rest van het artikel op Webwereld.nl
 





tags: xss-lekken , eigendom , webwereld , energiemeters , blijken , misbruik , waarschuwing , particulier