Oljejätten Shell sa att den undersöker efter att en säkerhetsforskare hittat en exponerad intern databas som spiller ut personlig information om förare som använder företagets laddningsstationer för elfordon.
Säkerhetsforskare Anurag Sen hittade en databas på nätet som innehöll nära en terabyte loggdata relaterade till Shell Recharge, företagets världsomspännande nätverk av hundratusentals laddningsstationer för elfordon, som det delvis förvärvade från Greenlots 2019. Greenlots tillhandahöll laddning av elfordon (EV). tjänster och teknik för kunder som driver fordonsflottor.
Den interna databasen, värd på Amazons moln, innehöll miljontals loggar, sa Sen, inklusive detaljer om kunder som använde EV-laddningsnätverket. Databasen hade inget lösenord, vilket gjorde det möjligt för alla på internet att komma åt dess data från sin webbläsare.
Uppgifterna, som sågs av TechCrunch, innehöll namn, e-postadresser och telefonnummer till flottkunder som använder elbilsladdningsnätverket. Databasen inkluderade namnen på flotta operatörer, som identifierade organisationer – såsom polisavdelningar – med fordon som laddar på nätet. En del av uppgifterna inkluderade fordonsidentifikationsnummer eller VIN.
Sen sa att databasen också innehöll platserna för Shells laddningsstationer för elbilar, inklusive laddningspunkter för privata bostäder. En av de exponerade skivorna som TechCrunch såg innehöll en bostadsadress som tillhörde Greenlots vd Andreas Lips.
Det är inte klart vad som resulterade i att databasen blev offentligt exponerad, eller hur länge uppgifterna var offentliga – även om en del av informationen är så färsk som 2023.
Sen sa att han kontaktade Shell efter att ha upptäckt den exponerade databasen. TechCrunch larmade Shell efter att Sen sa att han inte hört något från företaget. En kort tid efter att TechCrunch kontaktade Shell blev databasen otillgänglig.
Shells talesperson Anna Arata sa till TechCrunch i ett uttalande: “Shell har vidtagit åtgärder för att innehålla och identifiera en exponering av Shell Recharge Solutions-data. Vi undersöker incidenten, fortsätter att övervaka våra IT-system och kommer att vidta nödvändiga framtida åtgärder i enlighet med detta.”
Sen har tidigare hittat exponerad data som tillhör Amazon, Hotai Motor, PeopleGrove och JusTalk. Tidigare i år upptäckte Sen en databas som innehöll känslig amerikansk militär e-post som tillhörde US Special Operations Command.