Индийский автомобильный гигант Tata Motors, входящий в международный конгломерат Tata Group, столкнулся с масштабным инцидентом безопасности, в результате которого более 70 терабайт конфиденциальных данных оказались под угрозой компрометации. Серия уязвимостей, обнаруженных в 2023 году, включала экспозицию учетных данных AWS в публичном доступе, легко взламываемое шифрование ключей, бэкдор в системе Tableau без требований аутентификации и незащищенный API-ключ систем управления автопарком.
Первая критическая уязвимость была обнаружена на платформе E-Dukaan, предназначенной для продажи запасных частей. Исследователи безопасности нашли учетные данные AWS в открытом виде, встроенные непосредственно в исходный код веб-сайта. Эти credentials предоставляли неограниченный доступ к корзинам Amazon S3, содержащим резервные копии клиентских баз данных, отчеты рыночной аналитики, сотни тысяч счетов-фактур с персональными идентификационными номерами и примерно 40 гигабайт административных отчетов о заказах. Особую тревогу вызывал тот факт, что ключи использовались для загрузки единственного файла размером 4 килобайта с налоговыми кодами, создавая колоссальный риск безопасности ради минимальной операционной выгоды.
Платформа управления автопарком FleetEdge содержала второй набор учетных данных AWS, которые на первый взгляд казались зашифрованными. Однако шифрование осуществлялось исключительно на стороне клиента, что позволяло любому человеку с базовыми техническими знаниями извлечь и расшифровать ключи в течение секунд. Эта уязвимость демонстрировала опасное заблуждение разработчиков о том, что клиентское шифрование обеспечивает реальную защиту, когда и зашифрованные данные, и ключи дешифрования находятся в одной системе. Скомпрометированные учетные данные предоставили доступ примерно к 70 терабайтам данных, включая историческую информацию об автопарке, уходящую корнями к 1996 году.
На платформе E-Dukaan также были обнаружены учетные данные Tableau, встроенные в комментарии исходного кода, но более критичной оказалась реализация flawed системы аутентификации. Уязвимый код позволял пользователям получать «доверенные токены» используя только имя пользователя и название сайта, полностью обходя требования к паролю. Исследователи продемонстрировали возможность выдавать себя за любого пользователя системы, включая серверных администраторов, получая полный контроль над информационными панелями Tableau, содержащими внутренние проекты, финансовые отчеты и дилерскую информацию.
Система управления тест-драйвами содержала еще одну критическую уязвимость - API-ключ Azuga, встроенный в JavaScript код. Эти раскрытые учетные данные обеспечивают прямой доступ к платформе управления автопарком, разрешают разрешить неавторизованным лицам протокол доступа к средствам передвижения и осуществлять мониторинг операций тест-драйвов в первое время. Инцидентная система ищет разработчиков, рассматривающих клиентский код как безопасное место для хранения конфиденциальных учетных данных.
Об инцидентах было сообщено индийскому подразделению CERT-IN 8 августа 2023 года, но процесс исправления оказался неприемлемо медленным. Хотя компания Tata Motors подтвердила полученные результаты и заявила об устранении уязвимостей к 1 сентября, последующая проверка показала, что только 2 из 4 проблем были решены, а ключи AWS ключи оставались активными на обоих веб-сайтах. Полное отзыв скомпрометированных учетных данных потребовал несколько месяцев переписки и обсуждения напоминаний, завершившись только в январе 2024 года.
Обнаруженные уязвимости демонстрируют, что даже крупные международные корпорации могут становиться жертвами фундаментальных ошибок безопасности, таких как хардкодинг учетных данных, использование бессмысленного клиентского шифрования и внедрение систем аутентификации с серьезными логическими недостатками. Для клиентов, приобретающих транспортные средства Tata Motors, эти инциденты поднимают серьезные вопросы о стандартах защиты данных в автомобильной индустрии.
Эксперты по кибербезопасности отмечают, что обнаруженные уязвимости не требуют сложных методов взлома 0 достаточно было знать, где искать.Постоянная утечка секретных ключей становится особенно опасной, когда они предоставляют доступ к обширным массивам конфиденциальной информации. В случае с Tata Motors, два набора AWS keys с доступом к десяткам терабайт данных создавали беспрецедентные риски для конфиденциальности клиентов и бизнес-безопасности компании.
История с медленным реагированием Tata Motors на критические уязвимости безопасности подчеркивает необходимость более строгих стандартов управления инцидентами в крупных корпорациях. По мнению специалистов, автомобильные компании должны пересмотреть свои подходы к защите данных, особенно в контексте растущей цифровизации и подключения транспортных средств к интернету.
