Shell est-il en train de négliger la sécurité des données de ses clients ? C’est la question qui se pose après qu’un chercheur en sécurité a découvert une base de données interne exposée, contenant des informations personnelles sur les conducteurs utilisant les stations de recharge pour véhicules électriques de la compagnie pétrolière.
Anurag Sen, chercheur en sécurité, a trouvé en ligne une base de données contenant près d’un téraoctet de données de journalisation relatives à Shell Recharge, le réseau mondial de centaines de milliers de stations de recharge pour véhicules électriques de l’entreprise, qu’elle a acquis en partie auprès de Greenlots en 2019. Greenlots fournissait des services et des technologies de recharge pour véhicules électriques aux clients exploitant des flottes de véhicules. Mais quels types d’informations étaient donc exposées sur cette base de données ?
Cette base de données accessible librement contenait des informations personnelles et sensibles de conducteurs utilisant les stations de recharge de Shell.
La base de données interne, hébergée sur le cloud d’Amazon, contenait des millions de logs, a déclaré Sen, avec des détails sur les clients qui utilisaient le réseau de recharge pour véhicules électriques. La base de données n’avait aucun mot de passe, permettant à quiconque sur Internet d’accéder à ses données depuis son navigateur web. Mais combien de temps ces données ont-elles été exposées et quelles mesures ont été prises pour y remédier ?
Les données, consultées par TechCrunch, contenaient des noms, des adresses e-mail et des numéros de téléphone des clients qui utilisaient le réseau de recharge pour véhicules électriques. La base de données comprenait également les noms des opérateurs de flottes, qui identifiaient les organisations – telles que les départements de police – avec des véhicules se rechargeant sur le réseau. Certaines des données incluaient même des numéros d’identification de véhicules, ou VIN. Était-ce une simple erreur de configuration ou un problème de sécurité plus profond ?
Sen a déclaré que la base de données contenait également les emplacements des stations de recharge pour véhicules électriques de Shell, y compris les points de recharge résidentiels privés. L’une des données exposées consultées par TechCrunch contenait une adresse résidentielle appartenant à Andreas Lips, le PDG de Greenlots. Quelles conséquences pourraient avoir de telles informations entre de mauvaises mains ?
Il n’est pas clair ce qui a entraîné l’exposition publique de la base de données, ni depuis combien de temps les données étaient publiques – bien que certaines d’entre elles datent de 2023. Comment Shell compte-t-elle réagir face à cette situation ?
Sen a déclaré avoir contacté Shell après avoir découvert la base de données exposée. TechCrunch a alerté Shell après que Sen ait déclaré ne pas avoir eu de réponse de la part de l’entreprise. Peu de temps après que TechCrunch ait contacté Shell, la base de données est devenue inaccessible. Les représentants de Shell ont déclaré enquêter sur l’incident et surveiller leurs systèmes informatiques. Mais cela suffira-t-il pour garantir la sécurité des données de leurs clients à l’avenir ?
Source : Techcrunch