La faille de sécurité de Shell Recharge a exposé les données des conducteurs de véhicules électriques

Le géant pétrolier Shell a déclaré qu’il enquêtait après qu’un chercheur en sécurité ait découvert une base de données interne exposée contenant les informations personnelles des conducteurs qui utilisent les bornes de recharge de véhicules électriques de l’entreprise.

Chercheur en sécurité Anurag Sen a trouvé une base de données en ligne contenant près d’un téraoctet de données de journalisation relatives à Shell Recharge, le réseau mondial de centaines de milliers de bornes de recharge de véhicules électriques de l’entreprise, qu’elle a acquis en partie auprès de Greenlots en 2019. Greenlots a fourni la recharge de véhicules électriques (EV) services et technologies pour les clients exploitant des flottes de véhicules.

La base de données interne, hébergée sur le cloud d’Amazon, contenait des millions de journaux, a déclaré Sen, y compris des détails sur les clients qui utilisaient le réseau de recharge EV. La base de données n’avait pas de mot de passe, permettant à quiconque sur Internet d’accéder à ses données à partir de son navigateur Web.

Les données, vues par TechCrunch, contenaient les noms, adresses e-mail et numéros de téléphone des clients de la flotte qui utilisent le réseau de recharge EV. La base de données comprenait les noms des opérateurs de flotte, qui identifiaient les organisations – telles que les services de police – avec des véhicules qui se rechargent sur le réseau. Certaines des données comprenaient des numéros d’identification de véhicule, ou NIV.

Sen a déclaré que la base de données contenait également les emplacements des bornes de recharge pour véhicules électriques de Shell, y compris les points de recharge résidentiels privés. L’un des enregistrements exposés vus par TechCrunch contenait une adresse résidentielle appartenant au PDG de Greenlots, Andreas Lips.

On ne sait pas ce qui a rendu la base de données publiquement exposée, ni combien de temps les données ont été publiques – bien que certaines informations soient aussi récentes que 2023.

Sen a déclaré avoir contacté Shell après avoir découvert la base de données exposée. TechCrunch a alerté Shell après que Sen ait déclaré qu’il n’avait pas eu de réponse de la société. Peu de temps après que TechCrunch a contacté Shell, la base de données est devenue inaccessible.

La porte-parole de Shell, Anna Arata, a déclaré à TechCrunch dans un communiqué : « Shell a pris des mesures pour contenir et identifier une exposition des données de Shell Recharge Solutions. Nous enquêtons sur l’incident, continuons à surveiller nos systèmes informatiques et prendrons toutes les mesures futures nécessaires en conséquence.

Sen a déjà trouvé des données exposées appartenant à Amazon, Hotai Motor, PeopleGrove et JusTalk. Plus tôt cette année, Sen a découvert une base de données contenant des e-mails militaires américains sensibles appartenant au US Special Operations Command.


rewrite this content and keep HTML tags

Le géant pétrolier Shell a déclaré qu’il enquêtait après qu’un chercheur en sécurité ait découvert une base de données interne exposée contenant les informations personnelles des conducteurs qui utilisent les bornes de recharge de véhicules électriques de l’entreprise.

Chercheur en sécurité Anurag Sen a trouvé une base de données en ligne contenant près d’un téraoctet de données de journalisation relatives à Shell Recharge, le réseau mondial de centaines de milliers de bornes de recharge de véhicules électriques de l’entreprise, qu’elle a acquis en partie auprès de Greenlots en 2019. Greenlots a fourni la recharge de véhicules électriques (EV) services et technologies pour les clients exploitant des flottes de véhicules.

La base de données interne, hébergée sur le cloud d’Amazon, contenait des millions de journaux, a déclaré Sen, y compris des détails sur les clients qui utilisaient le réseau de recharge EV. La base de données n’avait pas de mot de passe, permettant à quiconque sur Internet d’accéder à ses données à partir de son navigateur Web.

Les données, vues par TechCrunch, contenaient les noms, adresses e-mail et numéros de téléphone des clients de la flotte qui utilisent le réseau de recharge EV. La base de données comprenait les noms des opérateurs de flotte, qui identifiaient les organisations – telles que les services de police – avec des véhicules qui se rechargent sur le réseau. Certaines des données comprenaient des numéros d’identification de véhicule, ou NIV.

Sen a déclaré que la base de données contenait également les emplacements des bornes de recharge pour véhicules électriques de Shell, y compris les points de recharge résidentiels privés. L’un des enregistrements exposés vus par TechCrunch contenait une adresse résidentielle appartenant au PDG de Greenlots, Andreas Lips.

On ne sait pas ce qui a rendu la base de données publiquement exposée, ni combien de temps les données ont été publiques – bien que certaines informations soient aussi récentes que 2023.

Sen a déclaré avoir contacté Shell après avoir découvert la base de données exposée. TechCrunch a alerté Shell après que Sen ait déclaré qu’il n’avait pas eu de réponse de la société. Peu de temps après que TechCrunch a contacté Shell, la base de données est devenue inaccessible.

La porte-parole de Shell, Anna Arata, a déclaré à TechCrunch dans un communiqué : « Shell a pris des mesures pour contenir et identifier une exposition des données de Shell Recharge Solutions. Nous enquêtons sur l’incident, continuons à surveiller nos systèmes informatiques et prendrons toutes les mesures futures nécessaires en conséquence.

Sen a déjà trouvé des données exposées appartenant à Amazon, Hotai Motor, PeopleGrove et JusTalk. Plus tôt cette année, Sen a découvert une base de données contenant des e-mails militaires américains sensibles appartenant au US Special Operations Command.

Laisser un commentaire