Een aantal tankstations van onder andere Shell lekt allerhande data over de opslag van brandstof. Zo is te zien hoeveel benzine of diesel er in opslagtanks onder de stations zit, wat de druk en temperatuur is, en wanneer die worden bijgevuld. Shell wil niet zeggen of het lek wordt gedicht of niet.
Dat ontdekte PCM samen met een ethisch hacker die anoniem wil blijven.
Geen firewall
De hacker ontdekte dat een flink aantal tankstations via een seriële ingang benaderbaar zijn. Bij die stations is geen firewall ingesteld, waardoor iedereen bij de interface kan komen. Bij veel tankstations staat die interface standaard uit, maar bij anderen is die altijd te bereiken.
We wisten het lek te reproduceren bij een tankstation in Almelo waarvan de tank 24 uur per dag bereikbaar is. Er zijn ook tankstation die alleen bereikbaar zijn op het moment dat ze worden bijgevuld.
Openbaar te vinden
Het is niet duidelijk om hoeveel tankstations het precies gaat, maar de tankstation zijn wel relatief makkelijk te vinden via IoT-zoekmachines zoals Shodan. Het gaat daarbij ook om tankstation in het buitenland.
Via de toegang konden we zien welke tanks allemaal beschikbaar zijn, en wat daarin zit. Zo is in onderstaand screenshot te zien welke brandstof in welke tank zit, hoeveel daar nog van is, hoe hoog het staat, en welke druk en temperatuur het heeft.
Handleiding
De gebruikershandleiding van de control port is op internet makkelijk te vinden. Daarin staan functions waarmee de interface kan worden bediend. Over het algemeen zijn er vooral veel statusrapporten te vinden over de bevoorrading van de ketels, maar er kunnen ook gegevens worden veranderd zoals de datum en tijd, de ijkwaarden van de metingen, en waarschuwingen.
"Geen uitspraken"
De hacker stapte met de informatie naar PCM. Shell zegt dat het geen uitspraken doet over specifieke lekken, maar wel dat het "de beveiliging van IT-infrastructuur zeer serieus neemt." Het lek overigens op het moment van publicatie nog steeds open.