Ethische hacker weet toegang te krijgen tot tankstations van Shell

Een aantal tankstations van onder andere Shell blijkt informatie te lekken over de opslag van brandstof. Verschillende tankstations blijken via een seriële ingang benaderbaar te zijn en niet over een firewall te beschikken. Hierdoor is bij een aantal tankstations de interface van de stations toegankelijk voor onbevoegden.

Dit meldt PCM, dat het lek samen met een anonieme ethische hacker heeft ontdekt. Bij veel tankstations is de beheerinterface uitgeschakeld, maar bij een aantal tankstations is deze wel toegankelijk. In andere gevallen is de interface alleen bereikbaar op het moment dat de ondergrondse brandstoftanks worden gevuld. De anonieme hacker wist onder andere toegang te verkrijgen tot de interface van een tankstation in Almelo, waar 24 uur per dag kan worden getankt.

Vindbaar via zoekmachines

Hoeveel tankstations via de seriële ingang benaderd kunnen worden is niet duidelijk. De systemen gevonden kunnen worden via zoekmachines als Shodan, waarmee gezocht kan worden naar apparatuur die met internet is verbonden. Ook tankstations in het buitenland zijn via deze weg toegankelijk. Eenmaal binnen is allerlei informatie over de aanwezige opslagtanks voor brandstof uit te lezen. Zo kan worden ingezien hoeveel liter brandstof in welke tank aanwezig is en onder welke druk deze tank staat. Ook is de temperatuur van de tank inzichtelijk.

Opvallend is ook dat de gebruikershandleiding van de control port via internet eenvoudig te vinden is. In deze handleiding zijn alle functies terug te vinden die via de interface op te vragen zijn. Ook blijkt het mogelijk gegevens in het station aan te passen, waaronder ijkwaarden van metingen en waarschuwingsboodschappen.

Lek is nog niet gedicht

In een reactie op de ontdekking zegt Shell geen uitspraken te doen over specifieke lekken, maar dat beveiliging van IT-infrastructuur zeer serieus te nemen. PCM meldt dat het lek op het moment van publicatie overigens nog niet was gedicht.