A gigante automobilística indiana Tata Motors corrigiu uma série de falhas de segurança que expunham dados internos confidenciais, incluindo informações pessoais de clientes, relatórios de empresas e dados relacionados a revendedores.
O pesquisador de segurança Eaton Zveare disse ao TechCrunch que descobriu a falha na Tata Motors. E-Dukeano É um portal de e-commerce onde você pode adquirir peças de reposição para veículos comerciais da Tata. Com sede em Mumbai, a Tata Motors produz automóveis de passageiros, bem como veículos comerciais e militares. A empresa Entrando em 125 países ao redor do mundo Segundo seu site, possui sete instalações de montagem.
Zveare descobriu que o código-fonte do portal continha chaves privadas para acessar e modificar dados na conta da Tata Motors na Amazon Web Services, disseram os pesquisadores. postagem no blog.
Zveare disse ao TechCrunch que os dados expostos incluíam centenas de milhares de faturas contendo informações do cliente, incluindo nome, endereço postal e número de conta permanente (PAN, um identificador exclusivo de 10 dígitos emitido pelo governo indiano).
“Não houve tentativa de exfiltrar grandes quantidades de dados ou baixar arquivos excessivamente grandes, visto que isso não gerou nenhum tipo de alarme ou grandes custos de saída da Tata Motors”, disse o pesquisador ao TechCrunch.
Os pesquisadores observaram que também havia backups de bancos de dados MySQL e arquivos Apache Parquet contendo diversas informações e comunicações pessoais de clientes.
As chaves AWS também dão acesso a mais de 70 terabytes de dados relacionados à Tata Motors. Borda da Frota Software de rastreamento de veículos. Zveare também descobriu acesso backdoor de administrador a contas do Tableau contendo dados de mais de 8.000 usuários.
Evento de crise tecnológica
São Francisco
|
27 a 29 de outubro de 2025
“Como administrador de servidor, você tinha acesso a tudo, principalmente relatórios financeiros internos, relatórios de desempenho, scorecards de revendedores, vários painéis, etc.”, disse o pesquisador.
Os dados expostos também incluíram acesso API ao Azuga, plataforma de gerenciamento de frota da Tata Motors que alimenta o site de test drive da empresa.
Logo depois de descobrir o problema, Zveare relatou-o à Tata Motors em agosto de 2023, por meio da Equipe de Resposta a Emergências Informáticas da Índia, conhecida como CERT-In. No final de outubro de 2023, a Tata Motors disse a Zveare que estava trabalhando para resolver o problema da AWS depois de garantir a brecha inicial. No entanto, a empresa não informou quando o problema foi resolvido.
A Tata Motors confirmou ao TechCrunch que todos os defeitos relatados foram corrigidos em 2023, mas não informou se notificou os clientes afetados de que suas informações foram expostas.
“Podemos confirmar que os defeitos e vulnerabilidades relatados foram minuciosamente revisados após serem identificados em 2023 e foram resolvidos imediata e completamente”, disse Sudeep Bhalla, chefe de comunicações da Tata Motors, quando contatado pelo TechCrunch.
“Nossa infraestrutura é auditada regularmente pelas principais empresas de segurança cibernética e mantemos registros de acesso abrangentes para monitorar atividades não autorizadas. Também nos envolvemos ativamente com especialistas do setor e pesquisadores de segurança para fortalecer nossa postura de segurança e mitigar riscos potenciais em tempo hábil”, disse Bhalla.
