黑客可攻击瘫痪千万座供电基础设施，安全公司曝光宁波德业公司太阳能逆变器系统存漏洞

图片地址：https://img.ithome.com/newsuploadfiles/2024/8/a5aea4ba-5f9e-45c3-94f9-89cc1b8a464d.jpg

IT之家 8 月 10 日消息，安全公司 Bitdefender 发布报告披露宁波德业（Deye）公司生产的太阳能逆变器系统存在严重漏洞，黑客可利用这些漏洞对地区电网稳定性产生影响，甚至可造成大规模电力中断或基础设施过载爆炸事故。据悉，宁波德业公司生产的太阳能逆变器系统销售遍布全球 190 多个国家，涵盖多达 1000 万座发电设施，合计可产生 19.5 亿千瓦的电力，占全球太阳能发电总量的五分之一。IT之家查询获悉，Bitdefender 发现的漏洞主要与多项凭据（Token）管理不当有关，黑客可通过至少四种方式获得逆变器系统最高管理权，对逆变器的配置进行篡改，具体漏洞如下：OAuth身份验证漏洞：研究人员发现平台存在一个与 OAuth 身份验证相关的 API 端点漏洞，攻击者可以利用此漏洞为任意用户生成有效凭证，从而接管用户账户，并对逆变器的配置进行篡改。凭证重复使用漏洞：研究人员发现该公司云端平台签署的