Nederlandse onderzoekers konden de cloudinfrastructuur van laadpaalleverancier ChargePoint overnemen. Daarnaast is het onduidelijk of het bedrijf beveiligingslekken die een half jaar geleden in de laadpalen werden gedemonstreerd wel heeft verholpen. In januari van dit jaar demonstreerden onderzoekers Daan Keuper, Thijs Alkemade en Khaled Nassar van Computest tijdens de Pwn2Own-wedstrijd in Tokio verschillende kwetsbaarheden in laadpalen voor elektrische auto's, waaronder die van ChargePoint.
De onderzoekers hebben nu zes maanden later via een blogposting de details van de gedemonstreerde beveiligingslekken openbaar gemaakt. Daarin laten ze ook weten dat ze tijdens hun onderzoek verschillende kwetsbaarheden ontdekten waarmee ze de cloudinfrastructuur van ChargePoint volledig konden overnemen.
ChargePoint blijkt gebruik te maken van een SSH-service waarvan de onderzoekers dachten dat de leverancier daarmee op de laadpalen van klanten kan inloggen. "Het maakt verbinding vanaf een systeem van ChargePoint met een reverse tunnel naar de telnet-service op de laadpaal. Aangezien een man-in-the-middle van deze verbinding ons alleen toegang tot dezelfde telnet-service zou geven die al voor ons op het lokale netwerk toegankelijk was, besloten we hier in eerste instantie niet verder naar te kijken", zo schrijven de onderzoekers.
De SSH-service maakt gebruik van een key die op het systeem van de laadpaal zelf is te vinden. De onderzoekers konden met de key toegang tot een ChargePoint-server krijgen, maar geen shell starten. Wel was het mogelijk andere TCP-tunnels op te zetten. De onderzoekers ontdekken zo een bij Amazon gehoste machine waar ze een tunnel naar toe kunnen opzetten. Op deze manier krijgen ze toegang tot meer dan honderd S3-buckets. Bedrijven gebruiken Amazon S3-buckets voor de opslag van data. Veel grote datalekken zijn ontstaan doordat S3-buckets voor derden toegankelijk waren.
Na de demonstratie tijdens Pwn2Own werd ChargePoint door wedstrijdorganisatie ZDI over de gevonden en gedemonstreerde kwetsbaarheden in de laadpalen ingelicht, zodat het die kon verhelpen. Niet alleen de onderzoekers van Computest demonstreerden problemen in de laadpalen van ChargePoint, ook andere onderzoekers deden dit. Zes maanden later heeft ZDI geen bevestiging gekregen dat alle acht gerapporteerde beveiligingslekken zijn verholpen en stelt dat gebruikers ervan moeten uitgaan dat de problemen nog steeds aanwezig zijn.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.