Tata Motors confirma que solucionó fallas de seguridad que exponían datos de la empresa y de sus clientes

El gigante automovilístico indio Tata Motors ha corregido una serie de fallos de seguridad que exponían datos internos sensibles, incluida información personal de clientes, informes de la empresa y datos relacionados con sus concesionarios.

El investigador de seguridad Eaton Zveare declaró a TechCrunch que descubrió las fallas en la unidad E-Dukaan de Tata Motors, un portal de comercio electrónico para la compra de repuestos para vehículos comerciales fabricados por Tata. Con sede en Bombay, Tata Motors produce automóviles de pasajeros, así como vehículos comerciales y de defensa. La compañía tiene presencia en 125 países y siete plantas de ensamblaje, según su sitio web.

Zveare dijo que descubrió que el código fuente web del portal incluía las claves privadas para acceder y modificar datos dentro de la cuenta de Tata Motors en Amazon Web Services, dijo el investigador en una publicación de blog .

Los datos expuestos, dijo Zveare a TechCrunch, incluían cientos de miles de facturas que contenían información de los clientes, como sus nombres, direcciones postales y número de cuenta permanente, o PAN, un identificador único de diez caracteres emitido por el gobierno indio.

“Por respeto a no causar algún tipo de alarma o una factura de egreso masiva en Tata Motors, no hubo intentos de exfiltrar grandes cantidades de datos ni descargar archivos excesivamente grandes”, dijo el investigador a TechCrunch.

También había copias de seguridad de bases de datos MySQL y archivos Apache Parquet que incluían diversos fragmentos de información y comunicaciones privadas de clientes, señaló el investigador.

Las claves de AWS también permitieron el acceso a más de 70 terabytes de datos relacionados con el software de seguimiento de flotas FleetEdge de Tata Motors. Zveare también encontró acceso de administrador de puerta trasera a una cuenta de Tableau, que incluía datos de más de 8000 usuarios.

Como administrador del servidor, tenías acceso a todo. Esto incluye principalmente informes financieros internos, informes de rendimiento, tarjetas de puntuación de los distribuidores y diversos paneles de control, explicó el investigador.

Los datos expuestos también incluían acceso API a la plataforma de gestión de flotas de Tata Motors, Azuga, que impulsa el sitio web de pruebas de conducción de la compañía.

Poco después de descubrir los problemas, Zveare los reportó a Tata Motors a través del equipo indio de respuesta a emergencias informáticas, conocido como CERT-In, en agosto de 2023. Posteriormente, en octubre de 2023, Tata Motors informó a Zveare que estaba trabajando para solucionar los problemas de AWS tras corregir las vulnerabilidades iniciales. Sin embargo, la compañía no indicó cuándo se solucionaron los problemas.

Tata Motors confirmó a TechCrunch que todas las fallas reportadas se solucionaron en 2023, pero no dijo si notificó a los clientes afectados que su información estaba expuesta.

"Podemos confirmar que las fallas y vulnerabilidades reportadas fueron revisadas exhaustivamente luego de su identificación en 2023 y fueron abordadas de manera rápida y completa", dijo el jefe de comunicaciones de Tata Motors, Sudeep Bhalla, cuando fue contactado por TechCrunch.

Nuestra infraestructura es auditada periódicamente por empresas líderes en ciberseguridad y mantenemos registros de acceso exhaustivos para detectar actividades no autorizadas. También colaboramos activamente con expertos del sector e investigadores de seguridad para reforzar nuestra estrategia de seguridad y garantizar la mitigación oportuna de posibles riesgos, afirmó Bhalla.