Indijas autobūves gigants Tata Motors ir novērsis virkni drošības trūkumu, kas atklāja sensitīvus iekšējos datus, tostarp klientu personisko informāciju, uzņēmuma pārskatus un datus, kas saistīti ar tā izplatītājiem.
Drošības pētnieks Ītons Zvērs pastāstīja TechCrunch, ka atklāja Tata Motors trūkumus. E-Dukāns vienība, e-komercijas portāls Tata ražoto komerctransporta rezerves daļu iegādei. Tata Motors, kura galvenā mītne atrodas Mumbajā, ražo vieglās automašīnas, kā arī komerciālos un aizsardzības transportlīdzekļus. Uzņēmumam ir a klātbūtne 125 valstīs visā pasaulē un septiņas montāžas iekārtas tās tīmekļa vietnē.
Zveare teica, ka viņš atklāja, ka portāla tīmekļa avota kodā ir iekļautas privātās atslēgas, lai piekļūtu un modificētu datus Tata Motors kontā vietnē Amazon Internet Companies, sacīja pētnieks. emuāra ieraksts.
Atklātie dati, Zveare pastāstīja TechCrunch, ietvēra simtiem tūkstošu rēķinu, kas satur informāciju par klientiem, piemēram, viņu vārdus, pasta adreses un pastāvīgo konta numuru vai PAN, desmit rakstzīmju unikālo identifikatoru, ko izdevusi Indijas valdība.
“No cieņas par to, ka Tata Motors neizraisīja kāda veida trauksmes zvanu vai masveida izejas rēķinu, netika mēģināts izfiltrēt lielu datu apjomu vai lejupielādēt pārāk lielus failus,” pētnieks sacīja TechCrunch.
Bija arī MySQL datu bāzes dublējumkopijas un Apache Parquet faili, kas ietvēra dažādus privāto klientu informācijas un saziņas bitus, atzīmēja pētnieks.
AWS taustiņi arī ļāva piekļūt vairāk nekā 70 terabaitiem datu, kas saistīti ar Tata Motors FleetEdge flotes izsekošanas programmatūra. Zveare arī atrada aizmugures administratora piekļuvi Tableau kontam, kurā bija dati par vairāk nekā 8000 lietotājiem.
Techcrunch pasākums
Sanfrancisko
|
2025. gada 27.–29. oktobris
“Kā servera administratoram jums bija piekļuve tam visam. Tas galvenokārt ietver tādas lietas kā iekšējie finanšu pārskati, veiktspējas pārskati, izplatītāju rādītāju kartes un dažādi informācijas paneļi,” sacīja pētnieks.
Atklātie dati ietvēra arī API piekļuvi Tata Motors autoparka pārvaldības platformai Azuga, kas nodrošina uzņēmuma testa brauciena vietni.
Neilgi pēc problēmu atklāšanas Zveare 2023. gada augustā ziņoja par tām Tata Motors, izmantojot Indijas datoru ārkārtas reaģēšanas komandu, kas pazīstama kā CERT-In. Vēlāk, 2023. gada oktobrī, Tata Motors pastāstīja Zveare, ka strādā pie AWS problēmu novēršanas pēc sākotnējo nepilnību novēršanas. Tomēr uzņēmums neteica, kad problēmas tika novērstas.
Tata Motors apstiprināja TechCrunch, ka visi ziņotie trūkumi tika novērsti 2023. gadā, taču neteica, vai tas informētu ietekmētos klientus, ka viņu informācija ir atklāta.
“Mēs varam apstiprināt, ka ziņotās nepilnības un ievainojamības tika rūpīgi pārskatītas pēc to identificēšanas 2023. gadā un tika nekavējoties un pilnībā novērstas,” sacīja Tata Motors komunikācijas vadītājs Sudeep Bhalla, sazinoties ar TechCrunch.
“Mūsu infrastruktūru regulāri pārbauda vadošie kiberdrošības uzņēmumi, un mēs uzturam visaptverošus piekļuves žurnālus, lai uzraudzītu neatļautas darbības. Mēs arī aktīvi sadarbojamies ar nozares ekspertiem un drošības pētniekiem, lai stiprinātu mūsu drošības pozīciju un nodrošinātu savlaicīgu iespējamo risku mazināšanu,” sacīja Bhalla.
