شرکت بزرگ خودروسازی هندی، تاتا موتورز، مجموعهای از آسیبپذیریهای امنیتی را برطرف کرده که باعث افشای اطلاعات حساس داخلی، از جمله اطلاعات شخصی مشتریان، گزارشهای شرکت و دادههای مربوط به نمایندگیهایش شده بود.
ایتان زویر، محقق امنیتی، به خبرنگار گفت که این آسیبپذیریها را در واحد E-Dukaan تاتا موتورز، یک پورتال تجارت الکترونیک برای خرید قطعات یدکی خودروهای تجاری ساخت تاتا، کشف کرده است. تاتا موتورز که دفتر مرکزی آن در بمبئی قرار دارد، خودروهای سواری، و همچنین خودروهای تجاری و دفاعی تولید میکند. بر اساس وبسایت این شرکت، تاتا موتورز در ۱۲۵ کشور جهان و هفت مرکز مونتاژ حضور دارد.
زویر گفت که متوجه شده کد منبع وب این پورتال شامل کلیدهای خصوصی برای دسترسی و تغییر دادهها در حساب تاتا موتورز در آمازون وب سرویسز بوده است. این محقق این موضوع را در یک پست وبلاگی اعلام کرد.
زویر به خبرنگار گفت، دادههای افشا شده شامل صدها هزار فاکتور حاوی اطلاعات مشتریان، مانند نام، آدرس پستی و شماره حساب دائمی یا PAN آنها، یک شناسه منحصر به فرد ده رقمی صادر شده توسط دولت هند، بوده است.
این محقق به خبرنگار گفت: «به دلیل احترامی که برای جلوگیری از ایجاد نوعی زنگ خطر یا صورتحساب خروجی عظیم در تاتا موتورز قائل بودم، هیچ تلاشی برای استخراج مقادیر زیادی از دادهها یا دانلود فایلهای بسیار بزرگ صورت نگرفت.»
این محقق خاطرنشان کرد، نسخههای پشتیبان پایگاه داده MySQL و فایلهای Apache Parquet نیز وجود داشتند که شامل بخشهای مختلفی از اطلاعات خصوصی مشتریان و ارتباطات آنها بود.
کلیدهای AWS همچنین امکان دسترسی به بیش از ۷۰ ترابایت داده مربوط به نرمافزار ردیابی ناوگان FleetEdge تاتا موتورز را فراهم میکردند. زویر همچنین دسترسی ادمین پشتیبان به یک حساب Tableau را پیدا کرد که شامل دادههای بیش از ۸۰۰۰ کاربر بود.
این محقق گفت: «به عنوان ادمین سرور، شما به همه اینها دسترسی داشتید. این عمدتاً شامل مواردی مانند گزارشهای مالی داخلی، گزارشهای عملکرد، کارت امتیازی نمایندگیها و داشبوردهای مختلف است.»
دادههای افشا شده همچنین شامل دسترسی API به پلتفرم مدیریت ناوگان تاتا موتورز، Azuga، بود که وبسایت تست درایو این شرکت را تامین میکند.
اندکی پس از کشف این مسائل، زویر آنها را از طریق تیم پاسخگویی به حوادث رایانهای هند، معروف به CERT-In، در مرداد ماه ۱۴۰۲ به تاتا موتورز گزارش داد. بعداً در مهر ماه ۱۴۰۲، تاتا موتورز به زویر گفت که پس از ایمنسازی آسیبپذیریهای اولیه، در حال کار بر روی رفع مشکلات AWS است. با این حال، شرکت نگفت که این مسائل چه زمانی برطرف شدهاند.
تاتا موتورز به خبرنگار تأیید کرد که تمام آسیبپذیریهای گزارش شده در سال ۱۴۰۲ برطرف شدهاند، اما نگفت که آیا به مشتریان آسیبدیده اطلاع داده است که اطلاعات آنها افشا شده است یا خیر.
سودیپ بهالا، رئیس ارتباطات تاتا موتورز، هنگامی که خبرنگار با او تماس گرفت، گفت: «ما میتوانیم تأیید کنیم که آسیبپذیریها و نقاط ضعفی که گزارش شده بود، پس از شناسایی در سال ۱۴۰۲ به طور کامل بررسی و به سرعت و به طور کامل برطرف شدند.»
بهالا گفت: «زیرساختهای ما به طور منظم توسط شرکتهای پیشرو در زمینه امنیت سایبری ممیزی میشوند و ما برای نظارت بر فعالیتهای غیرمجاز، گزارشهای دسترسی جامعی را نگهداری میکنیم. ما همچنین به طور فعال با کارشناسان صنعت و محققان امنیتی همکاری میکنیم تا وضعیت امنیتی خود را تقویت کرده و از کاهش به موقع خطرات احتمالی اطمینان حاصل کنیم.»
