Индийский автомобильный гигант Tata Motors исправил ряд уязвимостей в безопасности, которые подвергали риску конфиденциальные внутренние данные, включая личную информацию клиентов, отчеты компании и данные дилеров.
Исследователь безопасности Этон Звеаре обнаружил уязвимости в подразделении E-Dukaan — онлайн-портале для покупки запчастей к коммерческим автомобилям Tata. В исходном коде сайта были найдены приватные ключи доступа к аккаунту Tata Motors на платформе Amazon Web Services, что позволяло получить доступ и изменять данные.
Открытые данные включали сотни тысяч счетов с информацией о клиентах: имена, адреса и уникальные идентификаторы PAN, выданные правительством Индии. Также были найдены резервные копии баз данных и файлы с личной информацией и перепиской.
Ключи AWS позволяли получить доступ к более чем 70 терабайтам данных, связанных с программным обеспечением FleetEdge для отслеживания автопарка Tata Motors. Кроме того, был обнаружен скрытый административный доступ к аккаунту Tableau с данными более 8 000 пользователей.
Звеаре сообщил о найденных проблемах в августе 2023 года через индийскую команду реагирования на компьютерные инциденты CERT-In. В октябре компания сообщила, что работает над исправлением уязвимостей и впоследствии подтвердила, что все проблемы были устранены в 2023 году.
Представитель Tata Motors заявил, что инфраструктура компании регулярно проверяется ведущими фирмами по кибербезопасности, ведется мониторинг доступа и сотрудничество с экспертами для своевременного предотвращения рисков. Однако компания не сообщила, уведомляла ли она затронутых клиентов о раскрытии их данных.
