La brecha de seguridad de Shell Recharge expuso los datos del conductor EV
El gigante petrolero Shell dijo que estaba investigando después de que un investigador de seguridad descubriera una base de datos interna expuesta que contenía los detalles personales de los conductores que usan las estaciones de carga de vehículos eléctricos de la compañía.
investigador de seguridad anurag sen encontró una base de datos en línea que contenía casi un terabyte de datos de registro relacionados con Shell Recharge, la red global de la compañía de cientos de miles de estaciones de carga de vehículos eléctricos, que adquirió en parte de Greenlots en 2019. Greenlots proporcionó servicios de carga de vehículos eléctricos (EV). y tecnologías para clientes que operan flotas de vehículos.
La base de datos interna, alojada en la nube de Amazon, contenía millones de registros, dijo Sen, incluidos los detalles de los clientes que usaron la red de carga de vehículos eléctricos. La base de datos no tenía contraseña, lo que permitía a cualquiera en Internet acceder a sus datos desde su navegador web.
Los datos, vistos por TechCrunch, contenían los nombres, las direcciones de correo electrónico y los números de teléfono de los clientes de flotas que usan la red de carga de vehículos eléctricos. La base de datos incluía los nombres de los operadores de flotas, que identificaron organizaciones, como los departamentos de policía, con vehículos que cargan en la red. Algunos de los datos incluían números de identificación de vehículos o VIN.
Sen dijo que la base de datos también contiene las ubicaciones de las estaciones de carga de vehículos eléctricos de Shell, incluidos los puntos de carga residenciales privados. Uno de los registros expuestos vistos por TechCrunch contenía una dirección residencial perteneciente al CEO de Greenlots, Andreas Lips.
No está claro qué hizo que la base de datos se expusiera públicamente o cuánto tiempo han estado públicos los datos, aunque parte de la información es tan reciente como 2023.
Sen dijo que contactó a Shell después de descubrir la base de datos expuesta. TechCrunch alertó a Shell después de que Sen dijera que no había recibido noticias de la empresa. Poco después de que TechCrunch contactara a Shell, la base de datos se volvió inaccesible.
La portavoz de Shell, Anna Arata, dijo a TechCrunch en un comunicado: “Shell ha tomado medidas para contener e identificar una exposición de los datos de Shell Recharge Solutions. Estamos investigando el incidente, continuamos monitoreando nuestros sistemas de TI y, como resultado, tomaremos las medidas necesarias en el futuro.
Sen ha encontrado previamente datos expuestos pertenecientes a Amazon, Hotai Motor, PeopleGrove y JusTalk. A principios de este año, Sen descubrió una base de datos que contenía correos electrónicos militares estadounidenses confidenciales pertenecientes al Comando de Operaciones Especiales de EE. UU.