Shell Recharge-Sicherheitslücke hat Daten von Elektrofahrzeugfahrern offengelegt

Die EU schlaegt einen 12 Milliarden Dollar Plan vor um den wachsenden Cybersicherheitsbedrohungen

Der Ölriese Shell sagte, er führe Ermittlungen durch, nachdem ein Sicherheitsforscher eine offengelegte interne Datenbank gefunden hatte, in der persönliche Daten von Fahrern preisgegeben wurden, die die Ladestationen für Elektrofahrzeuge des Unternehmens nutzen.

Sicherheitsforscher Anurag Sen hat online eine Datenbank gefunden, die fast ein Terabyte an Protokolldaten zu Shell Recharge enthielt, dem weltweiten Netzwerk des Unternehmens aus Hunderttausenden Ladestationen für Elektrofahrzeuge, das das Unternehmen 2019 teilweise von Greenlots erworben hatte. Greenlots stellte das Laden von Elektrofahrzeugen (EV) bereit Dienstleistungen und Technologie für Kunden, die Fahrzeugflotten betreiben.

Die interne Datenbank, die in der Cloud von Amazon gehostet wird, enthielt laut Sen Millionen von Protokollen, darunter auch Details zu Kunden, die das Ladenetzwerk für Elektrofahrzeuge nutzten. Die Datenbank hatte kein Passwort, sodass jeder im Internet über seinen Webbrowser auf die Daten zugreifen konnte.

Die von Tech eingesehenen Daten enthielten Namen, E-Mail-Adressen und Telefonnummern von Flottenkunden, die das Ladenetzwerk für Elektrofahrzeuge nutzen. Die Datenbank enthielt die Namen von Flottenbetreibern, die Organisationen – wie etwa Polizeibehörden – mit Fahrzeugen identifizierten, die über das Netzwerk aufgeladen werden. Zu den Daten gehörten unter anderem Fahrzeugidentifikationsnummern bzw. VINs.

Sen sagte, die Datenbank enthalte auch die Standorte der EV-Ladestationen von Shell, einschließlich privater Ladestationen für Privathaushalte. Eine der offengelegten Aufzeichnungen, die Tech eingesehen hatte, enthielt eine Wohnadresse des CEO von Greenlots, Andreas Lips.

Es ist nicht klar, was dazu führte, dass die Datenbank öffentlich zugänglich gemacht wurde, oder wie lange die Daten öffentlich waren – obwohl einige der Informationen erst aus dem Jahr 2023 stammen.

Sen sagte, er habe Shell kontaktiert, nachdem er die offengelegte Datenbank entdeckt hatte. Tech alarmierte Shell, nachdem Sen sagte, er habe keine Antwort vom Unternehmen erhalten. Kurze Zeit nachdem Tech Shell kontaktiert hatte, war der Zugriff auf die Datenbank nicht mehr möglich.

Shell-Sprecherin Anna Arata sagte gegenüber Tech in einer Erklärung: „Shell hat Schritte unternommen, um eine Offenlegung der Daten von Shell Recharge Solutions einzudämmen und zu identifizieren.“ Wir untersuchen den Vorfall, überwachen weiterhin unsere IT-Systeme und werden alle notwendigen künftigen Maßnahmen entsprechend ergreifen.“

Sen hat zuvor offengelegte Daten von Amazon, Hotai Motor, PeopleGrove und JusTalk gefunden. Anfang des Jahres entdeckte Sen eine Datenbank mit sensiblen E-Mails des US-Militärs, die dem US Special Operations Command gehörten.



tch-1-tech