टाटा मोटर्सने पुष्टी केली की त्यांनी सुरक्षा त्रुटी दूर केल्या, ज्यामुळे कंपनी आणि ग्राहक डेटा उघड झाला

भारतीय ऑटोमोटिव्ह कंपनी टाटा मोटर्सने ग्राहकांची वैयक्तिक माहिती, कंपनी अहवाल आणि त्याच्या डीलर्सशी संबंधित डेटासह संवेदनशील अंतर्गत डेटा उघड करणाऱ्या सुरक्षा त्रुटींची मालिका निश्चित केली आहे.

सुरक्षा संशोधक ईटन झ्वेरे यांनी रीडला सांगितले की त्यांनी टाटा मोटर्समधील त्रुटी शोधल्या. ई-ड्यूकमध्ये युनिट, टाटा-निर्मित व्यावसायिक वाहनांसाठी सुटे भाग खरेदी करण्यासाठी एक ई-कॉमर्स पोर्टल. मुंबईत मुख्यालय असलेले टाटा मोटर्स प्रवासी कार, तसेच व्यावसायिक आणि संरक्षण वाहनांचे उत्पादन करते. कंपनीने ए जगभरातील 125 देशांमध्ये उपस्थिती आणि सात असेंब्ली सुविधा, त्याच्या वेबसाइटनुसार.

झ्वेरे म्हणाले की पोर्टलच्या वेब सोर्स कोडमध्ये ऍमेझॉन वेब सर्व्हिसेसवरील टाटा मोटर्सच्या खात्यातील डेटा ऍक्सेस करण्यासाठी आणि त्यात बदल करण्यासाठी खाजगी की समाविष्ट आहेत, असे संशोधकाने सांगितले. ब्लॉग पोस्ट.

झ्वेरे यांनी रीडला सांगितले की, उघड झालेल्या डेटामध्ये ग्राहकांची माहिती, जसे की त्यांची नावे, मेलिंग पत्ते आणि कायम खाते क्रमांक किंवा PAN, भारत सरकारने जारी केलेला दहा-वर्णांचा अद्वितीय ओळखकर्ता यासारख्या हजारो इनव्हॉइसचा समावेश आहे.

“टाटा मोटर्समध्ये काही प्रकारची धोक्याची घंटा किंवा मोठ्या प्रमाणात बाहेर पडण्याचे बिल न दिल्याबद्दल आदर म्हणून, मोठ्या प्रमाणात डेटा बाहेर काढण्याचा किंवा जास्त मोठ्या फायली डाउनलोड करण्याचा कोणताही प्रयत्न झाला नाही,” असे संशोधकाने रीडला सांगितले.

तेथे MySQL डेटाबेस बॅकअप आणि Apache Parquet फाईल्स देखील होत्या ज्यात खाजगी ग्राहक माहिती आणि संप्रेषणाचे विविध बिट समाविष्ट होते, संशोधकाने नमूद केले.

AWS की ने टाटा मोटर्सशी संबंधित 70 टेराबाइट्सपेक्षा जास्त डेटाचा प्रवेश देखील सक्षम केला. FleetEdge फ्लीट-ट्रॅकिंग सॉफ्टवेअर. झ्वेरेला एका टेबलाओ खात्यामध्ये बॅकडोअर ऍडमिन ऍक्सेस देखील आढळला, ज्यामध्ये 8,000 पेक्षा जास्त वापरकर्त्यांचा डेटा समाविष्ट होता.

“सर्व्हर ॲडमिन म्हणून, तुम्हाला या सर्व गोष्टींमध्ये प्रवेश होता. यामध्ये प्रामुख्याने अंतर्गत आर्थिक अहवाल, कार्यप्रदर्शन अहवाल, डीलर स्कोअरकार्ड आणि विविध डॅशबोर्ड यासारख्या गोष्टींचा समावेश होतो,” संशोधकाने सांगितले.

उघड झालेल्या डेटामध्ये टाटा मोटर्सच्या फ्लीट मॅनेजमेंट प्लॅटफॉर्म, अझुगा, जे कंपनीच्या चाचणी ड्राइव्ह वेबसाइटला सामर्थ्य देते, वरील API प्रवेश देखील समाविष्ट आहे.

समस्या शोधल्यानंतर लवकरच, झ्वेरेने ऑगस्ट 2023 मध्ये CERT-In या नावाने ओळखल्या जाणाऱ्या भारतीय संगणक आपत्कालीन प्रतिसाद कार्यसंघाद्वारे टाटा मोटर्सला त्यांची तक्रार केली. नंतर ऑक्टोबर 2023 मध्ये, टाटा मोटर्सने झ्वेरेला सांगितले की ते प्रारंभिक त्रुटी सुरक्षित केल्यानंतर AWS समस्यांचे निराकरण करण्यावर काम करत आहेत. मात्र, या समस्या कधी दूर झाल्या हे कंपनीने सांगितले नाही.

Tata Motors ने रीडला पुष्टी केली की 2023 मध्ये नोंदवलेल्या सर्व त्रुटींचे निराकरण करण्यात आले होते, परंतु त्यांनी प्रभावित ग्राहकांना त्यांची माहिती उघड झाल्याचे सूचित केले की नाही हे सांगणार नाही.

“आम्ही पुष्टी करू शकतो की 2023 मध्ये नोंदवलेल्या त्रुटी आणि असुरक्षिततेचे त्यांच्या ओळखीनंतर संपूर्णपणे पुनरावलोकन केले गेले आणि त्वरित आणि पूर्णपणे संबोधित केले गेले,” असे टाटा मोटर्सचे कम्युनिकेशन प्रमुख सुदीप भल्ला यांनी रीड यांच्याशी संपर्क साधला असता सांगितले.

“आमच्या पायाभूत सुविधांचे नियमितपणे अग्रगण्य सायबर सुरक्षा फर्मद्वारे ऑडिट केले जाते, आणि आम्ही अनधिकृत क्रियाकलापांवर लक्ष ठेवण्यासाठी सर्वसमावेशक प्रवेश नोंदी ठेवतो. आमची सुरक्षा स्थिती मजबूत करण्यासाठी आणि संभाव्य धोके वेळेवर कमी करणे सुनिश्चित करण्यासाठी आम्ही उद्योग तज्ञ आणि सुरक्षा संशोधकांसोबत सक्रियपणे सहकार्य करतो,” भल्ला म्हणाले.