Tata Motors, unul dintre cei mai cunoscuți constructori auto din India, a trecut recent printr-o situație delicată după descoperirea unor vulnerabilități serioase de securitate care au expus date interne și ale clienților. Totul a pornit de la platforma sa de comerț electronic E-Dukaan, unde un cercetător în securitate, Eaton Zveare, a găsit breșe ce puteau fi exploatate de persoane răuvoitoare.
Informații sensibile, la un click distanță
Deschizând sursa portalului, Zveare a descoperit chei private AWS, care oferă acces complet la infrastructura cloud folosită de companie. Aceste chei puteau fi folosite pentru a vizualiza sute de mii de facturi ce conțineau date personale precum nume, adrese poștale și chiar numere PAN (un identificator fiscal în India). Mai mult, s-au găsit și copii de siguranță MySQL și fișiere Apache Parquet care stochează mari volume de date.
Situația nu se oprește aici. Cercetătorul a reușit să acceseze și peste 70 de terabytes de date din FleetEdge, platforma de gestionare a flotelor Tata Motors. Dar și mai îngrijorător, a descoperit un „backdoor” pentru acces administrator la un cont Tableau, care stoca datele a peste 8.000 de utilizatori. După cum a menționat Zveare, în această poziție, cineva putea controla efectiv toate informațiile atent colectate de Tata Motors.
Răspunsul companiei și implicațiile asupra securității
După aflarea problemelor, Zveare a alertat rapid autoritățile indiene (CERT-In) în august 2023. Tata Motors a transmis ulterior că aceste vulnerabilități au fost „rezolvate prompt și complet” pe parcursul anului 2023. Reprezentanții companiei, inclusiv Sudeep Bhalla, șeful departamentului de comunicare, au adăugat că infrastructura IT a producătorului este supusă auditului regulat pentru a preveni astfel de incidente.
Totuși, rămâne incert dacă toți clienții afectați au fost notificați individual cu privire la scurgerea de date, un aspect esențial în contextul protecției datelor personale.
Ce înseamnă aceste incidente pentru utilizatori?
În era digitală, fiecare breșă de securitate ne reamintește cât de importantă este protejarea datelor personale. Chiar și cele mai mari companii, care gestionează milioane de informații sensibile, pot deveni ținta unor astfel de vulnerabilități. Cazul Tata Motors subliniază importanța auditului regulat și a transparenței față de clienți atunci când intervin probleme ce pot afecta confidențialitatea datelor.
Pentru clienți, transparența și informarea rapidă din partea companiilor este esențială pentru a lua măsuri de precauție suplimentare, iar pentru companii, investițiile constante în securitatea cibernetică devin din ce în ce mai critice.