Maison > Article > Périphériques technologiques > L'onduleur solaire Ningbo Deye exposé, les failles du système cachent des dangers cachés ?
【ITBEAR】Selon l'actualité du 10 août, la société de sécurité réseau Bitdefender a récemment publié un rapport important, révélant une série de graves vulnérabilités de sécurité dans le système d'onduleur solaire produit par la société Ningbo Deye (Deye). Une fois que ces vulnérabilités sont exploitées par des pirates informatiques, elles peuvent avoir un impact majeur sur la stabilité du réseau électrique régional, et même provoquer des pannes de courant à grande échelle ou des explosions de surcharge des infrastructures, avec des conséquences désastreuses. Le rapport montre que les systèmes d'onduleurs solaires de la société Ningbo Deye sont largement utilisés dans plus de 190 pays à travers le monde, couvrant jusqu'à 10 millions d'installations de production d'électricité, avec une production totale d'électricité de 1,95 milliards de kilowatts, ce qui représente la production totale d'énergie solaire dans le monde. . Un cinquième du volume, montrant son énorme part de marché et son impact potentiel sur l’approvisionnement énergétique mondial. Selon ITBEAR, les vulnérabilités découvertes par Bitdefender sont principalement étroitement liées à une mauvaise gestion de plusieurs identifiants (Tokens). Les pirates peuvent obtenir les droits de gestion les plus élevés du système d'onduleur de quatre manières au moins, puis altérer la configuration de l'onduleur. Les vulnérabilités spécifiques incluent : la vulnérabilité d'authentification OAuth, qui permet aux attaquants de générer des informations d'identification valides pour n'importe quel utilisateur et de prendre le contrôle des comptes d'utilisateurs ; ce qui signifie que les informations d'identification signées sur la plate-forme d'une entreprise peuvent être utilisées sur la plate-forme d'une autre entreprise, augmentant ainsi le nombre de pirates. L'ampleur de l'attaque ; le problème de l'exposition excessive des informations, où certains points de terminaison de l'API de la plate-forme divulguent trop d'informations organisationnelles, telles que les adresses e-mail et les numéros de téléphone, permettant aux pirates de mener des attaques d'ingénierie sociale et le problème du codage en dur ; numéros de compte, où il y a un propriétaire à l'intérieur de l'appareil. Les comptes codés en dur avec les privilèges les plus élevés mais les mots de passe immuables fournissent aux pirates un accès direct à tous les appareils.
Bitdefender souligne :Bitdefender souligne :
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!