Відомий індійський автогігант Tata Motors виявив серйозні вразливості у своїй системі безпеки, які вивели на поверхню чутливу інформацію, включаючи персональні дані клієнтів, внутрішні звіти компанії та відомості про дилерів. Ці проблеми були виявлені завдяки досліднику безпеки Ітону Звеарі, який детально описав свої знахідки на платформі TechCrunch.
Вразливості системи безпеки
Проблеми були зосереджені на E-Dukaan — електронному порталі для покупки запчастин до автомобілів, вироблених Tata. Компанія, що має штаб-квартиру в Мумбаї та налічує фабрики у семи країнах, здійснює постачання своїх автомобілів у 125 країнах світу.
Звеарі виявив, що код веб-сайту порталу містив приватні ключі, які надавали доступ до зміни даних у обліковому записі Tata Motors на Amazon Web Services. Витік даних включав сотні тисяч рахунків-фактур, що містять імена клієнтів, їх адреси, а також унікальні номери, видані урядом Індії.
Дослідник підкреслив, що не намагався завантажити великі обсяги даних, прагнучи уникнути зайвого шуму. Проте, серед виявленої інформації були резервні копії бази даних MySQL та файли Apache Parquet, що містили відомості про клієнтів і їхню комунікацію.
Крім цього, доступ до ключів AWS відкривав доступ до понад 70 терабайтів даних, пов’язаних з програмним забезпеченням для моніторингу автопарку FleetEdge, а також до адміністративного доступу до облікового запису Tableau, що містив дані про більш ніж 8 тисяч користувачів. Звеарі зауважив, що доступ як адміністратора сервера забезпечував можливість переглядати фінансові та виробничі звіти, оцінки дилерів та різноманітні інформаційні панелі.
Така інформація також включала API для платформи керування автопарком Azuga, яка використовується для тест-драйвів. Після виявлення вразливостей Звеарі повідомив про них до Tata Motors через індійську команду комп’ютерних надзвичайних ситуацій CERT-In в серпні 2023 року. У жовтні компанія підтвердила, що активно працює над усуненням проблемних моментів, але не вказала, коли саме було завершено ці роботи.
Представники Tata Motors підтвердили виправлення вразливостей, однак не уточнили, чи повідомили постраждалим клієнтам про потенційний витік інформації. За словами Судеепа Бхали, керівника відділу комунікацій компанії, усі виявлені проблеми були ретельно перевірені і швидко усунуті.
Tata Motors також підкреслила, що їхня інфраструктура регулярно проходить аудит провідними компаніями з кібербезпеки, а доступ до системи постійно контролюється для виявлення несанкціонованої активності. Компанія активно взаємодіє з експертами галузі та дослідниками в сфері безпеки, щоб зміцнити свою позицію у боротьбі з потенційними ризиками.