Een test op xss-lekken van alleen de inlogmodule van energiedataportal.nl maakt duidelijk in zes gevallen code geinjecteerd kan worden. In maarliefst 207 gevallen een waarschuwing wordt gegeven dat misbruik mogelijk is, maar niet in alle gevallen zal slagen. Daar komt het aan op de kwaliteiten van de browser van de gebruiker.

Bij het uitvoeren van 462 standaard tests op xss-lekken blijkt dan ook 46 procent in ieder geval te een waarschuwing te leiden.

Misbruik

De portal wordt gebruikt om klanten van Eneco inzicht te geven in het stroomgebruik. De informatie is afkomstige van 'slimme energiemeters' van het bedrijf. Na het verzamelen van de gegevens wordt de informatie inzichtelijk voor klanten gemaakt.

Nu er lekken op de website blijken te zitten, kunnen aanvallers kwaadaardige scripts naar niets vermoedende gebruikers sturen via een zogenaamde cross site scripting-aanval. Hierbij wordt code geïnjecteerd, die vervolgens afhankelijk van het systeem allerhande bewerkingen mogelijk maken.

Webwereld werd door een vertrouwde bron op de hoogte gebracht van het probleem. “Wanneer bedrijven dit soort websites gaan lanceren moet het toch zo zijn dat er tenminste wat aan veiligheid wordt gedaan”, verzucht de persoon. “Het is een kleine moeite het te doen, want ik kwam hier met twee minuten achter. Dat kunnen zij toch ook?”

Niet in eigendom

Verdere analyse door Webwereld maakt duidelijk dat de xss-lekken niet het enige probleem is. Het domein blijkt niet het eigendom van Eneco te zijn, maar aan een particulier toe te behoren. Navraag bij de energieleverancier leert dat deze persoon ook de 'tijdelijke versie' van de website beheert.

Ook dit is een beveiligingsrisico, omdat de eigenaar van een domein het verkeer kan omleiden, onderscheppen of de hele website uit de lucht kan halen. Daarnaast blijken nu klantgegevens onder het beheer van een particuliere partij te staan.

Geen versleutelde verbinding

Maar er valt meer op de beveiliging van de website af te dingen. Zo worden gebruikersnaam en wachtwoord leesbaar verstuurd, waardoor ze kunnen worden onderschept. Ook de benaderde informatie gaat zodoende leesbaar over het net.

Overigens blijkt de server wel in staat om met versleutelde verbindingen te werken, maar de website kan alleen onversleuteld worden benaderd. Ook blijkt het gebruikte certificaat voor beveiligde communicatie door browsers niet als authentiek te worden aangemerkt.

Beveiliging niet al te zwaar

In een reactie erkent Eneco dat de beveiliging op dit moment nog wat hiaten kan vertonen. “We zijn ons ervan bewust dat de beveiliging niet al te zwaar is”, zegt Cor de Ruijter, woordvoerder bij het bedrijf. “Sommige van onze grote klanten hadden behoefte aan actuele gegevens.”

De Ruijter benadrukt dat de website nog proef draait en dat er plannen zijn om de beveiliging “veel zwaarder” te maken. Zelfs wijst hij erop dat toegang met gebruikersnaam en wachtwoord ook niet het sterkst is.

Geen particulieren

Eneco wijst er verder op dat de informatie op de website alleen voor grootverbruikers is en er geen particuliere gegevens op de site te vinden zijn. Dat dit mogelijk is heeft ermee te maken dat deze klantengroep bij wet verplicht zijn om met meters te werken, die op afstand uit te lezen zijn. Alleen de klanten die hebben getekend kunnen vervolgens op het portal inloggen en de verbruiksgegevens zien.

“Deze site werkt niet zoals slimme meters gaan werken”, vertelt de zegsman. Hij bezweert dan dan de beveiliging beter op orde is. Ook stelt de Ruijter dat het bedrijf inmiddels actief is om de beveiliging wel goed op orde te krijgen.

Senaat niet akkoord

Er is de laatste maanden veel te doen geweest rondom de geplande energiemeters. Recentelijk werd een wetsvoorstel om de slimme energiemeter voor particulieren verplicht te stellen door de Eerste Kamer afgekeurd. In het voorstel werden weigerachtige burgers een zware gevangenisstraf in het vooruitzicht gesteld. In een nieuw voorstel zal dat waarschijnlijk worden vervangen door een boete of blijft dwang achterwege. Er is geen passage te vinden met straffen voor gegevensmisbruik, privacyschendingen of niet afdoende beveiliging voor. Ook het voldoen aan beveiligingsnormen is niet geregeld.

Webwereld heeft de problemen vorige week woensdag bij het bedrijf en bij Govcert aangekaart om de risico's tot een minimum te beperken. Het bedrijf heeft echter besloten geen directe actie te ondernemen. Ook het Ministerie van Economische Zaken werd om een reactie gevraagd, maar reageerde uiteindelijk niet.