Tata Motors confirma que corrigiu falhas de segurança, que expuseram dados da empresa e dos clientes

A gigante automotiva indiana Tata Motors corrigiu uma série de falhas de segurança que expunham dados internos confidenciais, incluindo informações pessoais de clientes, relatórios de empresas e dados relacionados a seus revendedores.

O pesquisador de segurança Eaton Zveare disse ao TechCrunch que descobriu as falhas no sistema da Tata Motors E-Dukeano unidade, um portal de comércio eletrônico para compra de peças de reposição para veículos comerciais fabricados pela Tata. Com sede em Mumbai, a Tata Motors produz automóveis de passageiros, bem como veículos comerciais e de defesa. A empresa tem um presença em 125 países em todo o mundo e sete instalações de montagem, conforme seu site.

Zveare disse que descobriu que o código-fonte do portal incluía as chaves privadas para acessar e modificar dados na conta da Tata Motors na Amazon Web Services, disse o pesquisador em um comunicado. postagem no blog.

Os dados expostos, disse Zveare ao TechCrunch, incluíam centenas de milhares de faturas contendo informações de clientes, como nomes, endereços para correspondência e número de conta permanente, ou PAN, um identificador exclusivo de dez caracteres emitido pelo governo indiano.

“Por respeito por não causar algum tipo de alarme ou conta de saída massiva na Tata Motors, não houve tentativas de exfiltrar grandes quantidades de dados ou baixar arquivos excessivamente grandes”, disse o pesquisador ao TechCrunch.

Havia também backups de bancos de dados MySQL e arquivos Apache Parquet que incluíam vários bits de informações e comunicações privadas de clientes, observou o pesquisador.

As chaves AWS também permitiram acesso a mais de 70 terabytes de dados relacionados à Tata Motors. FleetEdge software de rastreamento de frota. Zveare também encontrou acesso administrativo backdoor a uma conta do Tableau, que incluía dados de mais de 8.000 usuários.

“Como administrador do servidor, você tinha acesso a tudo isso. Isso inclui principalmente itens como relatórios financeiros internos, relatórios de desempenho, scorecards de revendedores e vários painéis”, disse o pesquisador.

Os dados expostos também incluíram acesso API à plataforma de gerenciamento de frota da Tata Motors, Azuga, que alimenta o site de test drive da empresa.

Pouco depois de descobrir os problemas, Zveare os relatou à Tata Motors por meio da equipe indiana de resposta a emergências de computadores, conhecida como CERT-In, em agosto de 2023. Mais tarde, em outubro de 2023, a Tata Motors disse a Zveare que estava trabalhando para corrigir os problemas da AWS após garantir as brechas iniciais. No entanto, a empresa não informou quando os problemas foram resolvidos.

A Tata Motors confirmou ao TechCrunch que todas as falhas relatadas foram corrigidas em 2023, mas não informou se notificou os clientes afetados de que suas informações foram expostas.

“Podemos confirmar que as falhas e vulnerabilidades relatadas foram minuciosamente revisadas após sua identificação em 2023 e foram prontamente e totalmente resolvidas”, disse Sudeep Bhalla, chefe de comunicações da Tata Motors, quando contatado pelo TechCrunch.

“Nossa infraestrutura é auditada regularmente pelas principais empresas de segurança cibernética e mantemos registros de acesso abrangentes para monitorar atividades não autorizadas. Também colaboramos ativamente com especialistas do setor e pesquisadores de segurança para fortalecer nossa postura de segurança e garantir a mitigação oportuna de riscos potenciais”, disse Bhalla.