Индийская автомобильная корпорация Tata Motors сообщила о исправлении ряда серьезных уязвимостей в своей внутренней IT-инфраструктуре, которые могли привести к утечке конфиденциальных данных компании и персональной информации клиентов и партнеров.
Об этом сообщает ProIT
Утечка данных на e-commerce платформе E-Dukaan
Исследователь в области кибербезопасности Итон Звеаре обнаружил критические недостатки в работе подразделения Tata Motors E-Dukaan — e-commerce портала для покупки запчастей к коммерческим автомобилям бренда. Звеаре обратил внимание на то, что в исходном коде сайта были доступны приватные ключи для работы с учетной записью Tata Motors на Amazon Web Services. Это открывало возможность изменять или считывать значительный объем внутренней информации.
Как отмечает исследователь, через эти уязвимости посторонние могли получить доступ к сотням тысяч счетов-фактур с персональными данными клиентов, включая имена, почтовые адреса и идентификационный номер PAN, который выдается правительством Индии. Среди открытых данных также были резервные копии баз данных MySQL, файлы Apache Parquet с приватной информацией и коммуникациями клиентов.
«Из уважения к тому, чтобы не вызывать какую-либо панику или огромный счет за утечку данных в Tata Motors, не было попыток эксфильтровать большие объемы данных или скачивать чрезмерно большие файлы,» — сообщил исследователь TechCrunch.
Доступ к FleetEdge и Azuga, действия компании
Утечка AWS-ключей предоставляла доступ к более чем 70 терабайтам данных, связанных с FleetEdge — программным обеспечением для мониторинга автопарка Tata Motors. Кроме того, был обнаружен бекдор для администрирования учетной записи Tableau, который содержал информацию более 8 тысяч пользователей. Исследователь также получил API-доступ к платформе управления автопарком Azuga, которая используется для организации тест-драйвов.
После обнаружения проблем в августе 2023 года, Звеаре уведомил Tata Motors через индийскую команду реагирования на компьютерные инциденты CERT-In. Уже в октябре 2023 года компания сообщила, что работает над устранением уязвимостей, начав с наиболее критических.
Tata Motors подтвердила, что все идентифицированные уязвимости были устранены еще в 2023 году, однако не уточнила, уведомила ли клиентов о потенциальной утечке их информации.
Руководитель отдела коммуникаций Tata Motors Судип Бхалла подчеркнул, что компания регулярно проводит аудиты IT-инфраструктуры с участием ведущих фирм в сфере кибербезопасности, ведет детальные журналы доступа и сотрудничает с экспертами и исследователями для своевременного реагирования на возможные угрозы.