宁波德业太阳能逆变器曝光，系统漏洞藏隐患？

【ITBEAR】8月10日消息，近期，网络安全公司Bitdefender发布了一份重要报告，揭示了宁波德业（Deye）公司生产的太阳能逆变器系统存在一系列严重安全漏洞。这些漏洞一旦被黑客利用，可能对地区电网的稳定性造成重大影响，甚至引发大规模的电力中断或基础设施过载爆炸事故，后果不堪设想。

报告显示，宁波德业公司的太阳能逆变器系统在全球190多个国家广泛应用，覆盖了多达1000万座发电设施，合计发电量可达19.5亿千瓦，这一数字占据了全球太阳能发电总量的五分之一，显示出其市场占有率的庞大以及对全球能源供应的潜在影响。

据ITBEAR了解，Bitdefender发现的漏洞主要与多项凭据（Token）管理不当密切相关。黑客可以通过至少四种途径获取逆变器系统的最高管理权限，进而篡改逆变器的配置。具体漏洞包括：OAuth身份验证漏洞，允许攻击者为任意用户生成有效凭证，接管用户账户；凭证重复使用漏洞，意味着在一家公司平台上签署的凭证能在另一家公司平台上使用，增加了黑客攻击的范围；过度信息暴露问题，平台的某些API端点泄露了过多的企业组织信息，如电子邮件地址和电话号码，便于黑客实施社交工程攻击；以及硬编码账号问题，设备内部存在一个拥有最高权限但密码无法修改的硬编码账号，为黑客提供了直接访问所有设备的途径。

Bitdefender强调，这些漏洞的曝光凸显了关键基础设施在网络安全方面的薄弱环节，尤其是像太阳能发电系统这样容易被忽视的领域。为防止潜在的黑客攻击，相关厂商和用户必须立即采取行动，修补漏洞并加强安全防护措施。幸运的是，Bitdefender已将相关漏洞报告给宁波德业公司，而德业公司也已迅速响应，采取措施修补了这些漏洞，有效降低了潜在的安全风险。