Індійська автомобільна корпорація Tata Motors повідомила про виправлення низки серйозних вразливостей у своїй внутрішній IT-інфраструктурі, що могли призвести до витоку конфіденційних даних компанії та персональної інформації клієнтів і партнерів.
Про це розповідає ProIT
Витік даних в e-commerce платформі E-Dukaan
Дослідник з кібербезпеки Ітон Звеаре виявив критичні недоліки у роботі підрозділу Tata Motors E-Dukaan — e-commerce порталу для купівлі запчастин до комерційних автомобілів бренду. Звеаре звернув увагу на те, що у вихідному коді сайту були доступні приватні ключі для роботи з обліковим записом Tata Motors на Amazon Web Services. Це відкривало можливість змінювати або зчитувати значний обсяг внутрішньої інформації.
Як зазначає дослідник, через ці вразливості сторонні могли отримати доступ до сотень тисяч рахунків-фактур з персональними даними клієнтів, зокрема іменами, поштовими адресами та ідентифікаційним номером PAN, який видається урядом Індії. Серед відкритих даних також були резервні копії баз даних MySQL, файли Apache Parquet з приватною інформацією та комунікаціями клієнтів.
“Out of respect for not causing some type of alarm bell or massive egress bill at Tata Motors, there were no attempts to exfiltrate large amounts of data or download excessively large files,” the researcher told TechCrunch.
Доступ до FleetEdge і Azuga, дії компанії
Витік AWS-ключів надавав доступ до понад 70 терабайтів даних, пов’язаних з FleetEdge — програмним забезпеченням для моніторингу автопарку Tata Motors. Крім того, було виявлено бекдор для адміністрування облікового запису Tableau, що містив інформацію понад 8 тисяч користувачів. Дослідник також отримав API-доступ до платформи управління автопарком Azuga, яка використовується для організації тест-драйвів.
Після виявлення проблем у серпні 2023 року, Звеаре сповістив Tata Motors через індійську команду реагування на комп’ютерні інциденти CERT-In. Вже у жовтні 2023 року компанія повідомила, що працює над усуненням уразливостей, почавши з найбільш критичних.
Tata Motors підтвердила, що всі ідентифіковані вразливості були усунуті ще у 2023 році, однак не уточнила, чи повідомила клієнтів про потенційний витік їхньої інформації.
Керівник відділу комунікацій Tata Motors Судіп Бхалла підкреслив, що компанія регулярно проводить аудити IT-інфраструктури за участі провідних фірм у сфері кібербезпеки, веде детальні журнали доступу та співпрацює з експертами й дослідниками задля своєчасного реагування на можливі загрози.
