El gigante petrolero Shell dijo que está investigando después de que un investigador de seguridad encontró una base de datos interna expuesta que derramaba información personal de los conductores que usan las estaciones de carga de vehículos eléctricos de la compañía.
investigador de seguridad anurag sen encontró una base de datos en línea que contenía cerca de un terabyte de datos de registro relacionados con Shell Recharge, la red mundial de la compañía de cientos de miles de estaciones de carga de vehículos eléctricos, que adquirió en parte de Greenlots en 2019. Greenlots proporcionó carga de vehículos eléctricos (EV) servicios y tecnología para clientes que operan flotas de vehículos.
La base de datos interna, alojada en la nube de Amazon, contenía millones de registros, dijo Sen, incluidos detalles sobre los clientes que usaron la red de carga de vehículos eléctricos. La base de datos no tenía contraseña, lo que permitía a cualquiera en Internet acceder a sus datos desde su navegador web.
Los datos, vistos por TechCrunch, contenían nombres, direcciones de correo electrónico y números de teléfono de clientes de flotas que usan la red de carga de vehículos eléctricos. La base de datos incluía los nombres de los operadores de flotas, que identificaron organizaciones, como los departamentos de policía, con vehículos que se recargan en la red. Algunos de los datos incluían números de identificación de vehículos o VIN.
Sen dijo que la base de datos también contenía las ubicaciones de las estaciones de carga de vehículos eléctricos de Shell, incluidos los puntos de carga residenciales privados. Uno de los registros expuestos vistos por TechCrunch contenía una dirección residencial perteneciente al CEO de Greenlots, Andreas Lips.
No está claro qué resultó en que la base de datos se expusiera públicamente, o cuánto tiempo estuvieron públicos los datos, aunque parte de la información es tan reciente como 2023.
Sen dijo que contactó a Shell después de descubrir la base de datos expuesta. TechCrunch alertó a Shell después de que Sen dijera que no había recibido noticias de la empresa. Poco tiempo después de que TechCrunch contactara a Shell, la base de datos se volvió inaccesible.
La portavoz de Shell, Anna Arata, dijo a TechCrunch en un comunicado: “Shell ha tomado medidas para contener e identificar una exposición de los datos de Shell Recharge Solutions. Estamos investigando el incidente, continuamos monitoreando nuestros sistemas de TI y tomaremos las medidas necesarias en el futuro en consecuencia”.
Sen ha encontrado previamente datos expuestos pertenecientes a Amazon, Hotai Motor, PeopleGrove y JusTalk. A principios de este año, Sen descubrió una base de datos que contenía correos electrónicos militares estadounidenses confidenciales pertenecientes al Comando de Operaciones Especiales de EE. UU.