Onderzoekers konden cloud laadpaalleverancier ChargePoint overnemen
Nederlandse onderzoekers konden de cloudinfrastructuur van laadpaalleverancier ChargePoint overnemen. Daarnaast is het onduidelijk of het bedrijf beveiligingslekken die een half jaar geleden in de laadpalen werden gedemonstreerd wel heeft verholpen. In januari van dit jaar demonstreerden onderzoekers Daan Keuper, Thijs Alkemade en Khaled Nassar van Computest tijdens de Pwn2Own-wedstrijd in Tokio verschillende kwetsbaarheden in laadpalen voor elektrische auto's, waaronder die van ChargePoint.
De onderzoekers hebben nu zes maanden later via een blogposting de details van de gedemonstreerde beveiligingslekken openbaar gemaakt. Daarin laten ze ook weten dat ze tijdens hun onderzoek verschillende kwetsbaarheden ontdekten waarmee ze de cloudinfrastructuur van ChargePoint volledig konden overnemen.
ChargePoint blijkt gebruik te maken van een SSH-service waarvan de onderzoekers dachten dat de leverancier daarmee op de laadpalen van klanten kan inloggen. "Het maakt verbinding vanaf een systeem van ChargePoint met een reverse tunnel naar de telnet-service op de laadpaal. Aangezien een man-in-the-middle van deze verbinding ons alleen toegang tot dezelfde telnet-service zou geven die al voor ons op het lokale netwerk toegankelijk was, besloten we hier in eerste instantie niet verder naar te kijken", zo schrijven de onderzoekers.
De SSH-service maakt gebruik van een key die op het systeem van de laadpaal zelf is te vinden. De onderzoekers konden met de key toegang tot een ChargePoint-server krijgen, maar geen shell starten. Wel was het mogelijk andere TCP-tunnels op te zetten. De onderzoekers ontdekken zo een bij Amazon gehoste machine waar ze een tunnel naar toe kunnen opzetten. Op deze manier krijgen ze toegang tot meer dan honderd S3-buckets. Bedrijven gebruiken Amazon S3-buckets voor de opslag van data. Veel grote datalekken zijn ontstaan doordat S3-buckets voor derden toegankelijk waren.
Na de demonstratie tijdens Pwn2Own werd ChargePoint door wedstrijdorganisatie ZDI over de gevonden en gedemonstreerde kwetsbaarheden in de laadpalen ingelicht, zodat het die kon verhelpen. Niet alleen de onderzoekers van Computest demonstreerden problemen in de laadpalen van ChargePoint, ook andere onderzoekers deden dit. Zes maanden later heeft ZDI geen bevestiging gekregen dat alle acht gerapporteerde beveiligingslekken zijn verholpen en stelt dat gebruikers ervan moeten uitgaan dat de problemen nog steeds aanwezig zijn.
De ene neemt de laadpaal over
De ander moet € 480 betalen voor een oplaadbeurt op een camping in Frankrijk omdat de wagen er telang stond; alla waarschuwingen daarover waren in het Frans!
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
GRC Officer
Als digitaal knooppunt hebben wij te maken met veel verschillende opdrachtgevers en klanten in het zorgveld. Deze opdrachtgevers en klanten vertrouwen erop dat de onze dienstverlening veilig is en continu voldoet aan alle (voortdurende wijzigende) relevante wet- en regelgeving. Als GRC Officer ben jij op de hoogte van die wet- en regelgeving en weet je de vertaalslag te maken naar de praktijk van VECOZO.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.