Hindistanın “Tata Motors” Şirkəti Müştəri və Daxili Məlumatları Açıqlayan Təhlükəsizlik Qüsurlarını Aradan Qaldırdı

Hindistanın avtomobil nəhəngi olan "Tata Motors" şirkəti, müştərilərin fərdi məlumatları, daxili hesabatları və diler şəbəkəsinə aid detallar daxil olmaqla, həssas məlumatları sızdıran bir sıra təhlükəsizlik boşluqlarını düzəldib. Təhlükəsizlik üzrə tədqiqatçı Eaton Zveare bu boşluqları "Tata Motors"un ehtiyat hissələrinin satışı üçün nəzərdə tutulan elektron ticarət portalı olan E-Dukaan bölməsində aşkarlayıb. Mumbayda yerləşən "Tata Motors" sərnişin, ticari və müdafiə nəqliyyat vasitələri istehsal edir. Tədqiqatçı Zveare öz bloq yazısında bildirib ki, portalın veb mənbə kodunda Amazon Web Services (AWS) hesabındakı məlumatlara daxil olmaq və onları dəyişdirmək üçün istifadə edilən şəxsi açarlar mövcud idi.

Zveare məlumat verib ki, bu boşluqlar vasitəsilə yüz minlərlə faktura əlçatan olmuşdu. Bu sənədlərdə müştərilərin adları, poçt ünvanları və Hindistan hökuməti tərəfindən verilən PAN (Permanent Account Number) nömrəsi kimi şəxsi identifikasiya detalları yer alırdı. Tədqiqatçı, şirkətdə həyəcan yaratmamaq və ya kütləvi xərcə səbəb olmamaq üçün böyük miqdarda məlumat çıxarmaq cəhdi etmədiyini qeyd etdi. Bununla birlikdə, AWS açarları şirkətin nəqliyyat vasitələrini izləmə proqramı olan FleetEdge ilə əlaqəli 70 terabaytdan çox məlumata giriş imkanı verirdi. Bu giriş Tableau hesabına da şamil olunurdu ki, burada 8000-dən çox istifadəçinin məlumatları var idi. Server administratoru olaraq, Zveare daxili maliyyə və performans hesabatları, diler qiymətləndirmə cədvəlləri və müəssisəyə aid digər panellər kimi məxfi sənədlərə daxil ola bilirdi. Sızan məlumatlara həmçinin şirkətin sınaq sürüşü veb-saytına dəstək verən Azuga avtopark idarəetmə platformasına API girişi də daxil idi.

Zveare bu problemləri tapdıqdan qısa müddət sonra, 2023-cü ilin avqustunda Hindistan Kompüter Fövqəladə Hallara Cavab Qrupu (CERT-In) vasitəsilə "Tata Motors"a məlumat verdi. Şirkət həmin ilin oktyabr ayında ilkin boşluqları bağladıqdan sonra AWS məsələlərini həll etmək üzərində işlədiyini təsdiqlədi. "Tata Motors"un rabitə rəhbəri Sudeep Bhalla bu qüsurların müəyyən edildikdən sonra hərtərəfli nəzərdən keçirildiyini və 2023-cü ildə təcili şəkildə tamamilə aradan qaldırıldığını bildirdi. Şirkət, təsirə məruz qalan müştərilərin məlumatların sızması barədə xəbərdar edilib-edilməməsi sualına cavab verməkdən yayındı. Bhalla əlavə etdi ki, onların infrastrukturu aparıcı kibertəhlükəsizlik firmaları tərəfindən müntəzəm olaraq yoxlanılır və mümkün riskləri vaxtında azaltmaq üçün təhlükəsizlik tədqiqatçıları ilə fəal əməkdaşlıq aparılır.