Уязвимости Tata Motors: утечка данных клиентов и отчетов

Автомобильный гигант Tata Motors столкнулся с серией уязвимостей безопасности, которые привели к утечке конфиденциальных внутренних данных. Под удар попала личная информация клиентов, отчеты компании и сведения о дилерах.

Исследователь безопасности Итон Звеаре обнаружил критические недочеты в подразделении E-Dukaan, онлайн-платформе для покупки запчастей к коммерческим автомобилям Tata. Анализ исходного кода веб-сайта выявил наличие приватных ключей, предоставляющих доступ для изменения и модификации данных в облачном хранилище Tata Motors на Amazon Web Services (AWS).

По словам Звеаре, в числе раскрытых данных оказались сотни тысяч счетов-фактур с персональной информацией клиентов, включая их имена, почтовые адреса и PAN (Permanent Account Number) — уникальный десятизначный идентификатор, выдаваемый правительством Индии.

Исследователь подчеркнул, что, дабы не вызывать излишней тревоги и не приводить к чрезмерным расходам на передачу данных у Tata Motors, он не предпринимал попыток массового извлечения информации или скачивания больших файлов. Тем не менее, были обнаружены резервные копии баз данных MySQL и файлы Apache Parquet, содержащие разнообразную частную информацию о клиентах и переписку.

Доступ к ключам AWS также открывал возможность получить доступ к более чем 70 терабайтам данных, связанных с программой мониторинга автопарка FleetEdge. Кроме того, Звеаре нашел бэкдор-доступ администратора к учетной записи Tableau, где хранились данные более 8000 пользователей.

«Будучи системным администратором, вы имели доступ ко всему этому. В основном это включает внутренние финансовые отчеты, отчеты о производительности, карточки дилеров и различные дашборды», — пояснил исследователь.

Утечка затронула и API-доступ к платформе управления автопарком Tata Motors — Azuga, которая обеспечивает работу веб-сайта компании для тест-драйвов.

Обнаружив проблемы, Звеаре уведомил Tata Motors через CERT-In (Индийскую команду реагирования на компьютерные инциденты) в августе 2023 года. В октябре того же года компания сообщила исследователю, что работает над устранением проблем с AWS, после того как первоначальные уязвимости были устранены. О точных сроках полного исправления уязвимостей компания не уточнила.

Tata Motors подтвердила TechCrunch, что все заявленные недостатки были устранены в 2023 году. Однако компания не стала раскрывать, были ли уведомлены клиенты, чья информация оказалась под угрозой.

«Мы можем подтвердить, что после выявления в 2023 году заявленные недостатки и уязвимости были тщательно изучены и оперативно устранены в полном объеме», — заявил глава отдела коммуникаций Tata Motors Судип Бхалла. «Наша инфраструктура регулярно проходит аудиты ведущих фирм в области кибербезопасности, и мы ведем подробные журналы доступа для мониторинга несанкционированной активности. Мы также активно сотрудничаем с отраслевыми экспертами и исследователями безопасности для укрепления нашей защитной позиции и обеспечения своевременного устранения потенциальных рисков», — добавил Бхалла.