Tata Motors оголосила про усунення вразливостей безпеки, які загрожували даним компанії та клієнтів

Індійський автомобільний гігант Tata Motors усунув низку вразливостей у безпеці, які могли призвести до витоку чутливих внутрішніх даних, включаючи персональну інформацію клієнтів, звіти компанії та дані, що стосуються її дилерів.

Дослідник безпеки Ітан Звеар розповів про свою знахідку, що стосується підрозділу Tata Motors E-Dukaan, який є електронною комерційною платформою для купівлі запчастин до комерційних автомобілів виробництва Tata. Компанія з головним офісом у Мумбаї виробляє легкові автомобілі, а також комерційні та оборонні транспортні засоби, маючи присутність у 125 країнах світу та сім монтажних заводів.

Звеар зазначив, що у вихідному коді порталу було виявлено приватні ключі для доступу та зміни даних у акаунті Tata Motors на Amazon Web Services, про що він повідомив у своєму блозі.

Згідно з інформацією Звеара, до витоків даних потрапили сотні тисяч рахунків-фактур, що містили особисту інформацію клієнтів, таку як їхні імена, поштові адреси та постійний номер рахунка (PAN), який є унікальним ідентифікатором, виданим урядом Індії.

«З поваги до Tata Motors та щоб не викликати паніку чи великі витрати за даними, не було спроби завантажити великі обсяги інформації», — сказав дослідник.

Він також відзначив, що виявлені резервні копії бази даних MySQL і файли Apache Parquet містили різну приватну інформацію та комунікацію клієнтів.

Ключі AWS забезпечували доступ до понад 70 терабайтів даних, пов’язаних з програмним забезпеченням для моніторингу флоту FleetEdge від Tata Motors. Звеар також виявив хакерський доступ до адміністративного акаунта Tableau, що містив дані понад 8 тис. користувачів.

«Як адміністратор сервера, ви мали доступ до всього. Це перш за все включає в себе внутрішні фінансові звіти, звіти про продуктивність, показники дилерів та різні інформаційні панелі», — зазначив дослідник.

Також до витоків потрапила інформація про API доступ до платформи управління флотом Tata Motors Azuga, яка підтримує вебсайт для тест-драйвів компанії.

Після виявлення проблем Звеар повідомив про них Tata Motors через індійську команду реагування на комп’ютерні інциденти CERT-In у серпні 2023 року. У жовтні 2023 року Tata Motors підтвердила Звеару, що працює над усуненням проблем з AWS після закриття початкових вразливостей, але не вказала, коли саме вони були виправлені.

Tata Motors підтвердила, що всі виявлені вразливості були виправлені у 2023 році, але не стала коментувати, чи були повідомлені постраждалі клієнти про витік їхньої інформації.

«Ми можемо підтвердити, що всі виявлені недоліки та вразливості були ретельно переглянуті після їх виявлення у 2023 році і були оперативно та повноцінно усунуті», — зазначила Судееп Бхалла, глава комунікацій Tata Motors, у спілкуванні з медіа.

«Наша інфраструктура регулярно проходить аудит провідними компаніями в сфері кібербезпеки, і ми ведемо всебічний облік доступу для моніторингу несанкціонованої активності. Ми також активно співпрацюємо з експертами галузі та дослідниками безпеки, щоб зміцнити нашу захисну позицію і забезпечити своєчасне усунення потенційних ризиків», — додав Бхалла.