{"id":296487,"date":"2024-06-24T00:04:00","date_gmt":"2024-06-23T22:04:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=296487"},"modified":"2024-06-18T22:44:11","modified_gmt":"2024-06-18T20:44:11","slug":"deye-wechselrichter-cloud-account-zeigt-fremde-anlagen-kundendaten-an","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/06\/24\/deye-wechselrichter-cloud-account-zeigt-fremde-anlagen-kundendaten-an\/","title":{"rendered":"Deye Wechselrichter: Cloud Account zeigt fremde Anlagen-\/Kundendaten an"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Cloud\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/05\/Cloud-Symbol.jpg\" width=\"200\" align=\"left\" \/>In deutschen Objekten d\u00fcrften einige Balkonkraftwerke und auch fest installierte Solaranlagen arbeiten, bei denen Wechselrichter des chinesischen Herstellers Deye verwendet werden. Der Hersteller ist ja schon mal unangenehm durch ein fehlende Trennrelais beim Wechselrichter f\u00fcr Balkonkraftwerke aufgefallen. Ein Leser hat mich bereits im Mai 2024 mit einem anderen Problem konfrontiert. Er konnte die Anlagendaten einer ihm komplett unbekannten Person einsehen. Mich interessiert, ob dies ein Einzelfall ist.<\/p>\n<p><!--more--><\/p>\n<h2>Deye-Wechselrichter mit Cloud-Anbindung<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg09.met.vgwort.de\/na\/2c2177ba37514ba0b1dcef1a0c085b90\" alt=\"\" width=\"1\" height=\"1\" \/>Seitdem Balkonkraftwerke boomen, finden sich Hunderttausende Wechselrichter von Deye in deutschen Haushalten. Die Ger\u00e4te sind dabei \u00fcber WLAN an das Internet angeschlossen und speisen die Daten in die Cloud in China. Mit im \"Beipack\" ist auch die M\u00f6glichkeit, dass der Hersteller Deye per Internet auf die Ger\u00e4te zugreift und sich die Anlage manipulieren l\u00e4sst. Weiterhin w\u00e4re es auch denkbar, dass der Hersteller \u00fcber diesen Kanal sich im internen Netzwerk umsieht.<\/p>\n<p><a href=\"https:\/\/www.youtube.com\/watch?v=HQO5euDA_bk\"><img decoding=\"async\" title=\"Deye Wechselrichter f\u00fcr Balkonkraftwerk\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2023\/07\/image-26.png\" alt=\"Deye Wechselrichter f\u00fcr Balkonkraftwerk\" \/><\/a><br \/>\nDeye SUN600G3 Modulwechselrichter f\u00fcr Balkonkraftwerk<\/p>\n<p>Die Micro-Wechselrichter von Deye machten im Sp\u00e4tsommer 2023 aber vor allem durch das fehlende Schutzrelais (NA Schutzeinrichtung) Negativ-Schlagzeilen (siehe mein Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/07\/29\/solaranlagen-das-deye-wechselrichterproblem-schwachstellen-bei-berwachungssystemen\/\">Solaranlagen: Das Deye-Wechselrichterproblem bei Balkonkraftwerken; Schwachstellen bei \u00dcberwachungssystemen<\/a>). Inzwischen liefert Deye ja eine Relaisbox als NA Schutzeinrichtung f\u00fcr betroffene Anlagen aus, die zwischen Wechselrichter und Netzeinspeisestecker geschaltet wird. Ich hatte im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/09\/09\/deye-wechselrichter-sun600g3-eu-230-nach-anschluss-des-relaisbox-defekt\/\">Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt!<\/a> \u00fcber die Relaisbox und die damit verbundenen Probleme berichtet.<\/p>\n<p>Das zur Einstimmung, was mich wesentlich hibbeliger machen w\u00fcrde, ist der Umstand, dass zur Inbetriebnahme des Wechselrichters und der Relaisbox beide Komponenten per WLAN mit dem Internet verbunden werden m\u00fcssen. Im Rahmen des Blog-Beitrags <a href=\"https:\/\/borncity.com\/blog\/2023\/09\/09\/deye-wechselrichter-sun600g3-eu-230-nach-anschluss-des-relaisbox-defekt\/\">Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt!<\/a> meldet sich der Support von Deye um Unterst\u00fctzung zu gew\u00e4hren. Dabei kam heraus, dass der Hersteller per Internet auf den Wechselrichter (und damit, sofern das nicht isoliert wurde, auch auf alle Ger\u00e4te des lokalen Netzwerks) zugreifen kann. Die Benutzer sind dabei mit einer Cloud in China verbunden, wo die Daten der Solaranlage eingespeist werden und dann per Smartphone abgerufen werden k\u00f6nnen. \u00dcber diesen Themenkomplex hatte ich im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2023\/10\/10\/deye-wechselrichter-schwachstellen-und-zugriff-des-anbieters-auf-das-netzwerk\/\">Deye-Wechselrichter: Schwachstellen und Zugriff des Anbieters auf das Netzwerk<\/a> berichtet.<\/p>\n<h2>Wenn falsche Anlagendaten angezeigt werden<\/h2>\n<p>Ein Blog-Leser hatte mich bereits Ende Mail 2024 per E-Mail kontaktiert, weil er ein Solarkraftwerk mit Deye-Wechselrichter betreibt und \u00fcber meine nachfolgenden Beitr\u00e4ge auf den Blog gesto\u00dfen ist. Der Leser gibt an, sich \u00fcber sein iPad nach l\u00e4ngerer Zeit mal wieder in der Deye-Cloud angemeldet zu haben. Dort fielen ihm die Augen aus dem Kopf, als er einen Blick in die Anlagendaten warf.<\/p>\n<ul>\n<li>Der Blog-Leser wohnt im bergischen Land und hat seine Anlage auch entsprechend angelegt und konfiguriert.<\/li>\n<li>Bei der Anmeldung wurden ihm pl\u00f6tzlich die kompletten Anlagendaten einer ihm unbekannten Person in Th\u00fcringen angezeigt.<\/li>\n<\/ul>\n<p>Nachfolgend ist ein Screenshot der betreffenden App-Seite, auf der die unter dem betreffenden Benutzerkonto verf\u00fcgbaren Solaranlagen aufgef\u00fchrt werden. Es gibt das BKWMATS des Blog-Lesers, aber noch eine weitere Anlage mit der Bezeichnung EriksHome S\u00fcd &#8211; die Adresse habe ich mal verschleiert.<\/p>\n<p><img decoding=\"async\" title=\"Deye-Cloud-Anlagendaten\" src=\"https:\/\/i.postimg.cc\/CMvSNK1V\/image.png\" alt=\"Deye-Cloud-Anlagendaten\" \/><\/p>\n<p>Meine Recherchen ergaben aber, dass es die betreffende Adresse gibt. Der Leser schrieb mir, dass er die betreffende Person telefonisch kontaktiert habe. Denn er konnte \u00fcber den betreffenden Eintrag die kompletten Daten des fremden Betreibers, also Adresse, Telefonnummer, Anlagendaten per Internet abrufen.<\/p>\n<p>Es sieht also so aus, als ob beim Cloud-Zugriff etwas mit der Indexierung der Benutzerkonten nicht sauber l\u00e4uft und Anlagendaten falsch zugeordnet werden. An dieser Stelle kam beim Leser ein \"ungutes Gef\u00fchl\" auf, da er davon ausgehen muss, dass seine Anlagendaten \u00fcber die Deye-Cloud bei irgend einem anderen Konto ebenfalls auftauchen.<\/p>\n<h2>Problem: Wie bereinigt man so etwas?<\/h2>\n<p>Der Leser schrieb mir mit Recht: \"Das darf einfach nicht sein. \" Er wollte von mir wissen, wie er so etwas melden k\u00f6nne &#8211; da die Mail aber bei mir unter \"greifst Du die Tage auf\" h\u00e4ngen blieb, habe ich nicht sofort geantwortet. Die Vermutung war, dass der Hersteller Deye in China sitzt (was aus <a href=\"https:\/\/deye.com\/de\/contacts\/\">diesem Impressum<\/a> auch hervorgeht). Inzwischen habe ich den Leser kontaktiert und erfahren, dass der Anbieter Deye wohl auch eine Dependance in N\u00fcrnberg besitzt. Der Leser hat die deutsche Dependance kontaktiert, aber Antwort per Mail aus China bekommen.<\/p>\n<p>Die Reaktion hat den Leser erstaunt, denn als er den Hersteller auf den Bug hinwies, habe dieser das bezweifelt. Die Antworten von Deye lauteten sinngem\u00e4\u00df \"wenn dort eine fremde Anlage unter dem Benutzerkonto auftaucht, hat der Nutzer diese in seinem Account auch angelegt\". O-Ton des Lesers: \"Das ist nat\u00fcrlich Bl\u00f6dsinn.\" Gener\u00f6ser Weise bot Deye dem Betroffenen an, zu helfen, die zweite Anlage aus dem Benutzerkonto auszutragen.<\/p>\n<h2>Das Problem: Gibt es mehr Betroffene?<\/h2>\n<p>Nun ist es ja nicht damit getan, dass man da in einem Benutzerkonto die \"fehlerhaften\" Anlagendaten l\u00f6scht. Wenn ein Software-oder Indexfehler Daten und Konten verw\u00fcrfelt, hilft das nicht weiter. Im d\u00fcmmsten Fall wird dem Besitzer der Anlage der Datensatz aus der Deye-Cloud gel\u00f6scht. Zudem muss der Betroffene davon ausgehen, dass seine eigenen Daten bei einem fremden Konto auftauchen k\u00f6nnen.<\/p>\n<p>Deye ist mit seinem Wechselrichtern nicht nur bei Balkonkraftwerken unterwegs (dort sind Micro-Wechselrichter im Einsatz). Es gibt auch Wechselrichter f\u00fcr gr\u00f6\u00dfere Solaranlagen, ggf. mit Batteriespeicher. Die Screenshots, die ich einsehen konnte, zeigen mir, dass die fremde Anlage wohl auch eine Akku zum Speichern des Solarstroms besitzt. Sp\u00e4testens wenn die Anlage dann gewerblich betrieben wird, hat Deye dann ja ein DSGVO-Problem, weil fremde aber pers\u00f6nliche Daten offen gelegt werden.<\/p>\n<p>An dieser Stelle die Frage an die Leserschaft (bzw. die Leute, die zuf\u00e4llig \u00fcber eine Suchmaschine hier einschlagen): Gibt es noch andere F\u00e4lle, in denen unter dem Deye-Cloud-Konto die Daten fremder Anlagen angezeigt werden? Bei einer Internetsuche habe ich auf die Schnelle nichts gefunden. Kurzum: Ist der obige Nutzer Einzelfall, oder kommt da noch mehr?<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/10\/10\/deye-wechselrichter-schwachstellen-und-zugriff-des-anbieters-auf-das-netzwerk\/\">Deye-Wechselrichter: Schwachstellen und Zugriff des Anbieters auf das Netzwerk<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/09\/09\/deye-wechselrichter-sun600g3-eu-230-nach-anschluss-des-relaisbox-defekt\/\">Deye-Wechselrichter SUN600G3-EU-230 nach Anschluss des Relaisbox defekt!<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2023\/07\/29\/solaranlagen-das-deye-wechselrichterproblem-schwachstellen-bei-berwachungssystemen\/\">Solaranlagen: Das Deye-Wechselrichterproblem bei Balkonkraftwerken; Schwachstellen bei \u00dcberwachungssystemen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In deutschen Objekten d\u00fcrften einige Balkonkraftwerke und auch fest installierte Solaranlagen arbeiten, bei denen Wechselrichter des chinesischen Herstellers Deye verwendet werden. Der Hersteller ist ja schon mal unangenehm durch ein fehlende Trennrelais beim Wechselrichter f\u00fcr Balkonkraftwerke aufgefallen. Ein Leser hat &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/06\/24\/deye-wechselrichter-cloud-account-zeigt-fremde-anlagen-kundendaten-an\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,731,426],"tags":[1171,1019],"class_list":["post-296487","post","type-post","status-publish","format-standard","hentry","category-cloud","category-gerate","category-sicherheit","tag-cloud","tag-datensicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296487","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=296487"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/296487\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=296487"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=296487"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=296487"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}