Το σφάλμα ασφαλείας του Shell Recharge εξέθεσε τα δεδομένα των προγραμμάτων οδήγησης EV
Related Posts
Ο πετρελαϊκός γίγαντας Shell είπε ότι διερευνά αφού ένας ερευνητής ασφαλείας βρήκε μια εκτεθειμένη εσωτερική βάση δεδομένων που διαχέει τα προσωπικά στοιχεία των οδηγών που χρησιμοποιούν τους σταθμούς φόρτισης ηλεκτρικών οχημάτων της εταιρείας.
Ερευνητής ασφάλειας
Anurag Sen
βρήκε μια διαδικτυακή βάση δεδομένων που περιείχε σχεδόν ένα terabyte δεδομένων καταγραφής σχετικά με το Shell Recharge, το παγκόσμιο δίκτυο της εταιρείας με εκατοντάδες χιλιάδες σταθμούς φόρτισης ηλεκτρικών οχημάτων, τους οποίους απέκτησε εν μέρει από την Greenlots το 2019. Η Greenlots παρείχε φόρτιση ηλεκτρικών οχημάτων (EV) υπηρεσίες και τεχνολογία για πελάτες που εκμεταλλεύονται στόλους οχημάτων.
Η εσωτερική βάση δεδομένων, που φιλοξενείται στο
cloud
της
Amazon
, περιείχε εκατομμύρια αρχεία καταγραφής, είπε ο Sen, συμπεριλαμβανομένων λεπτομερειών για πελάτες που χρησιμοποιούσαν το δίκτυο φόρτισης EV. Η βάση δεδομένων δεν είχε κωδικό πρόσβασης, επιτρέποντας σε οποιονδήποτε στο Διαδίκτυο να έχει πρόσβαση στα δεδομένα της από το πρόγραμμα περιήγησής του.
Τα δεδομένα, που είδε το TechCrunch, περιείχαν ονόματα, διευθύνσεις email και αριθμούς τηλεφώνου πελατών στόλου που χρησιμοποιούν το δίκτυο φόρτισης EV. Η βάση δεδομένων περιελάμβανε τα ονόματα των χειριστών στόλου, οι οποίοι ταυτοποίησαν οργανισμούς — όπως αστυνομικά τμήματα — με οχήματα που επαναφορτίζονται στο δίκτυο. Μερικά από τα δεδομένα περιελάμβαναν αριθμούς αναγνώρισης οχημάτων ή VIN.
Ο Sen είπε ότι η βάση δεδομένων περιείχε επίσης τις τοποθεσίες των σταθμών φόρτισης EV της Shell, συμπεριλαμβανομένων των ιδιωτικών οικιακών σημείων φόρτισης. Ένα από τα εκτεθειμένα αρχεία που είδε το TechCrunch περιείχε μια διεύθυνση κατοικίας που ανήκε στον CEO της Greenlots, Andreas Lips.
Δεν είναι σαφές τι είχε ως αποτέλεσμα να εκτεθεί δημόσια η βάση δεδομένων ή για πόσο καιρό τα δεδομένα ήταν δημόσια — αν και ορισμένες από τις πληροφορίες είναι τόσο πρόσφατες όσο το 2023.
Ο Sen είπε ότι επικοινώνησε με τη Shell αφού ανακάλυψε την εκτεθειμένη βάση δεδομένων. Η TechCrunch ειδοποίησε τη Shell αφού ο Sen είπε ότι δεν έλαβε απάντηση από την εταιρεία. Λίγο καιρό μετά την επαφή του TechCrunch με τη Shell, η βάση δεδομένων έγινε απρόσιτη.
Η εκπρόσωπος της Shell, Anna Arata, δήλωσε στο TechCrunch σε μια δήλωση: «Η Shell έχει λάβει μέτρα για να περιορίσει και να εντοπίσει μια έκθεση σε δεδομένα της Shell Recharge Solutions. Διερευνούμε το συμβάν, συνεχίζουμε να παρακολουθούμε τα συστήματα πληροφορικής μας και θα λάβουμε ανάλογα μελλοντικές ενέργειες».
Ο Sen είχε βρει στο παρελθόν εκτεθειμένα δεδομένα που ανήκουν στις Amazon, Hotai Motor, PeopleGrove και JusTalk. Νωρίτερα φέτος, ο Sen ανακάλυψε μια βάση δεδομένων που περιείχε ευαίσθητα στρατιωτικά email των ΗΠΑ που ανήκαν στη Διοίκηση Ειδικών Επιχειρήσεων των ΗΠΑ.
