Voor het uitdelen van IP-adressen wordt een DHCP-server gebruikt, geen DNS-server. In het gelinkte artikel staat...Vaillant blijkt voor het uitdelen van ip-adressen aan ecoPower-ketels, zodat deze toegankelijk zijn via een applicatie of webbrowser, bovendien een eigen dns-server te gebruiken. Door adressen te raden, zou het vrij eenvoudig zijn om kwetsbare systemen te vinden en aan te vallen.
.Nach dem Aufruf der über Port 80 erreichbaren Loginseite der Heizung, präsentiert bereits diese Seite den Namen des Heizungsbesitzers sowie auch den Standort der Anlage. Eine Lösung, die nicht nur aus Datenschutzgesichtspunkten höchst fraglich ist. Obendrein sind alle Anlagen an einen DynDNS-Adressdienst von Vaillant angebunden, der es nur mittels Durchprobieren eines bestimmten Ziffernbereiches ermöglicht, alle Anlagen sowie deren Eigentümer aufzuspüren – ganz ohne Ausnutzung der eigentlichen Sicherheitslücke des ecoPOWER-Systemreglers.
Gemist in het artikel op Tweakers is nog dat op de startpagina van de webpagina ook nog de naam van de eigenaar en het adres van de installtie genoemd staat. Sowieso is de installatie niet alleen een CV-ketel, maar ook een stroomopwekker, een zogenaamde micro-WKK
Verder stel ik als passage in het artikel op Tweakers voor...
Vaillant kent iedere installie door middel van een dynamische DNS-dienst een gemakkelijk te onthouden vast webadres toe. Dit vaste webadres is gemakkelijk te raden omdat het een volgnummer bevat samen met een vaste tekst. In combinatie met het uitlezen van de passwords kan zo gemakkelijk toegang tot een installatie verkregen worden.
/u/207598/radioheadbear.png?f=community)