Anunț de securitate de la Tata Motors
Tata Motors, gigantul indian în domeniul auto, a remediat o serie de vulnerabilități de securitate care expuneau date interne sensibile, inclusiv informații personale ale clienților, rapoarte ale companiei și date legate de dealeri.
Descoperirea vulnerabilităților
Cercetătorul în securitate Eaton Zveare a identificat aceste vulnerabilități în unitatea E-Dukaan a Tata Motors, un portal de comerț electronic pentru achiziționarea pieselor de schimb pentru vehiculele comerciale produse de companie. Tata Motors, cu sediul în Mumbai, produce vehicule de pasageri, comerciale și de apărare și are o prezență în 125 de țări.
Datele expuse
Zveare a descoperit că codul sursă al portalului conținea chei private pentru accesarea și modificarea datelor din contul Tata Motors de pe Amazon Web Services (AWS). Datele expuse includeau sute de mii de facturi cu informații despre clienți, cum ar fi numele, adresele de corespondență și numărul de cont permanent (PAN), un identificator unic emis de guvernul indian.
Printre informațiile expuse s-au numărat și backup-uri ale bazelor de date MySQL și fișiere Apache Parquet care conțineau diverse informații private ale clienților și comunicări. Cheile AWS au permis, de asemenea, accesul la peste 70 de terabytes de date legate de software-ul de urmărire a flotei FleetEdge. De asemenea, Zveare a găsit un acces de tip backdoor la un cont Tableau, care includea date despre peste 8.000 de utilizatori.
Acțiuni întreprinse
După descoperirea problemelor, Zveare a raportat vulnerabilitățile către Tata Motors prin intermediul echipei indiene de răspuns la urgențe cibernetice, CERT-In, în august 2023. În octombrie 2023, Tata Motors a confirmat că lucrează la remedierea problemelor AWS, după ce a securizat inițial breșele. Totuși, compania nu a specificat când au fost rezolvate aceste probleme.
Confirmarea remediilor
Tata Motors a confirmat că toate vulnerabilitățile raportate au fost remediate în 2023, dar nu a precizat dacă a notificat clienții afectați că informațiile lor au fost expuse. Sudeep Bhalla, responsabilul cu comunicarea al companiei, a declarat că infrastructura este auditată regulat de firme de securitate cibernetică de frunte și că se mențin jurnale complete de acces pentru a monitoriza activitățile neautorizate. De asemenea, compania colaborează activ cu experți din industrie și cercetători în domeniul securității pentru a-și întări postura de securitate și a asigura o mitigare rapidă a riscurilor potențiale.
Concluzie
Remedierea acestor vulnerabilități subliniază importanța continuării investițiilor în securitatea cibernetică, având în vedere volumul semnificativ de date sensibile gestionate de companii de talie mare precum Tata Motors.




