印度汽车巨头塔塔汽车公司已确认修复了一系列严重的安全风险,这些风险使高度敏感的数据面临风险。该公司最近进行了分拆,将其商用车部门与乘用车部门分开,该公司透露,近 70TB 的敏感客户和公司数据面临风险,这一情况最初于 2023 年报告。
塔塔汽车的多个数字平台发现了安全漏洞,引发了对该公司内部数据安全协议的严重担忧。这些漏洞是由安全研究人员 Eaton Zveare 发现并报告的,他在经过长时间的修复过程后公开披露了他的发现。
广泛数据泄露的根本原因被确定为塔塔汽车公司面向客户的多个系统的密钥管理不善。最明显的错误涉及硬编码的 Amazon Web Services (AWS) 访问密钥,该密钥直接在该公司的备件电子商务门户 E-Dukaan 的公共源代码中找到。
这些硬编码凭据授予对公司数百个云存储桶的未经授权的管理访问权限。
塔塔汽车修复了 2023 年报告的错误
类似的缺陷影响了 Tata 的车队跟踪解决方案 FleetEdge,其中加密的 AWS 密钥可以通过客户端代码轻松解密。这有助于解锁更多的海量数据存储库。这一发现凸显出,高度特权的密钥被用来获取琐碎的信息,从而造成了巨大的安全风险。
暴露的风险是巨大的,包括个人客户信息和敏感的企业情报。泄露的数据包括:
– 数十万张客户发票详细说明了个人信息,例如全名、邮寄地址和印度永久帐号 (PAN)。
– MySQL 数据库备份和私人客户通信日志。
– 来自 FleetEdge 数据湖的超过 70TB 的历史车辆和车队见解,可追溯到 1996 年。
– 对内部 Tableau 仪表板的后门管理访问权限,其中包含 8,000 多名内部用户的敏感财务报告、经销商记分卡、绩效指标和数据。
Zveare 于 2023 年 8 月首次通过印度计算机应急响应小组 (CERT-In) 报告了这些问题。虽然塔塔汽车公司的通讯主管 Sudeep Bhalla 确认这些缺陷已在 2023 年得到完全解决,但据报道,全面修复工作一直拖延到 2024 年 1 月,需要研究人员反复跟进。
尽管塔塔汽车公司已确认修复,但该公司拒绝评论是否已将这一信息通知数百万可能受影响的客户,并援引了避免讨论安全问题细节的政策。
