Индийский автомобильный гигант Tata Motors устранил ряд уязвимостей безопасности, которые раскрывали конфиденциальные внутренние данные, включая персональные данные клиентов, отчеты компании и данные, связанные с ее дилерами.
Исследователь безопасности Итон Звеаре сообщил TechCrunch, что обнаружил уязвимости в подразделении Tata Motors E-Dukaan, интернет-портале для покупки запчастей для коммерческих автомобилей Tata. Компания Tata Motors со штаб-квартирой в Мумбаи производит легковые, а также коммерческие и военные автомобили. Согласно информации на её сайте, компания представлена в 125 странах мира и имеет семь сборочных заводов.
По словам исследователя Звеаре, он обнаружил, что исходный веб-код портала включал закрытые ключи для доступа и изменения данных в учетной записи Tata Motors на Amazon Web Services.
Как сообщил Звеаре TechCrunch, раскрытые данные включают сотни тысяч счетов-фактур, содержащих информацию о клиентах, такую как их имена, почтовые адреса и постоянный номер счета (PAN) — уникальный десятизначный идентификатор, выдаваемый индийским правительством.
«Из уважения к компании Tata Motors, чтобы не вызвать каких-либо сигналов тревоги или огромных счетов за эвакуацию, не было никаких попыток извлечь большие объемы данных или загрузить чрезмерно большие файлы», — сообщил исследователь TechCrunch.
Исследователь отметил, что также имелись резервные копии базы данных MySQL и файлы Apache Parquet, содержащие различную конфиденциальную информацию и сообщения клиентов.
Ключи AWS также открыли доступ к более чем 70 терабайтам данных, связанных с программным обеспечением FleetEdge для отслеживания транспортных средств Tata Motors. Звеаре также обнаружил бэкдор-доступ к учетной записи Tableau, содержащей данные более 8000 пользователей.
«Как администратор сервера, вы имели доступ ко всему этому. В первую очередь это касается таких вещей, как внутренние финансовые отчёты, отчёты о производительности, оценочные листы дилеров и различные панели мониторинга», — сказал исследователь.
Раскрытые данные также включали API-доступ к платформе управления автопарком Tata Motors Azuga, на которой работает сайт тест-драйва компании.
Вскоре после обнаружения проблем, в августе 2023 года, компания Zveare сообщила о них Tata Motors через индийскую группу реагирования на компьютерные инциденты CERT-In. Позднее, в октябре 2023 года, Tata Motors сообщила Zveare, что работает над устранением проблем AWS после устранения первоначальных уязвимостей. Однако компания не сообщила, когда проблемы были устранены.
Компания Tata Motors подтвердила изданию TechCrunch, что все выявленные недостатки были устранены в 2023 году, но не сообщила, уведомила ли она затронутых клиентов о том, что их данные были раскрыты.
«Мы можем подтвердить, что выявленные недостатки и уязвимости были тщательно изучены после их выявления в 2023 году и оперативно и в полном объеме устранены», — заявил руководитель отдела коммуникаций Tata Motors Судип Бхалла в интервью TechCrunch.
«Наша инфраструктура регулярно проверяется ведущими компаниями по кибербезопасности, и мы ведём подробные журналы доступа для отслеживания несанкционированной активности. Мы также активно сотрудничаем с отраслевыми экспертами и исследователями в области безопасности, чтобы укрепить нашу систему безопасности и обеспечить своевременное снижение потенциальных рисков», — сказал Бхалла.
Источник: techcrunch.com
