El gigante automovilístico indio Tata Motors ha solucionado una serie de fallos de seguridad que exponían datos internos confidenciales, incluida información personal de los clientes, informes de la empresa y datos relacionados con los concesionarios.
El investigador de seguridad Eaton Zuber dijo a TechCrunch que descubrió la falla en la división E-Dukaan de Tata Motors, un portal de comercio electrónico para la compra de repuestos para vehículos comerciales Tata. Tata Motors, con sede en Mumbai, produce turismos, así como vehículos comerciales y de defensa. La empresa tiene presencia en 125 países y siete instalaciones de montaje, según su sitio web.
Zuber descubrió que el código fuente web del portal contenía claves privadas para acceder y modificar datos en las cuentas de Tata Motors en Amazon Web Services, dijeron los investigadores en una publicación de blog.
Zubair dijo a TechCrunch que los datos filtrados incluían cientos de miles de facturas que contenían información del cliente, como nombres, direcciones postales y números de cuenta permanentes (PAN, un identificador único de 10 caracteres emitido por el gobierno indio).
«En Tata Motors, no se hizo ningún intento de filtrar grandes cantidades de datos o descargar archivos excesivamente grandes, en deferencia a no causar ningún tipo de alarma o cargos salientes elevados», dijeron los investigadores a TechCrunch.
También había copias de seguridad de bases de datos MySQL y archivos Apache Parquet que contenían diversas piezas de información y comunicaciones personales de los clientes, señalaron los investigadores.
Las claves de AWS también dieron acceso a más de 70 terabytes de datos relacionados con el software de seguimiento de flotas de Tata Motors, FleetEdge. Zveare también descubrió acceso de administrador por puerta trasera a una cuenta de Tableau que contenía datos de más de 8000 usuarios.
evento de crisis tecnológica
san francisco
|
27-29 de octubre de 2025
«El administrador del servidor tenía acceso a todo, principalmente informes financieros internos, informes de rendimiento, cuadros de mando de los distribuidores y varios paneles», dijeron los investigadores.
Los datos filtrados también incluyeron acceso API a Azuga, la plataforma de gestión de flotas que impulsa el sitio web de prueba de conducción de Tata Motors.
Zuvea informó del problema a Tata Motors a través del Equipo de Respuesta a Emergencias Informáticas de la India, conocido como CERT-In, en agosto de 2023, poco después de descubrir el problema. A finales de octubre de 2023, Tata Motors informó a Zuvea que estaba trabajando para solucionar el problema de AWS después de encontrar una laguna jurídica inicial. Sin embargo, la empresa no dijo cuándo se solucionaría el problema.
Tata Motors confirmó a TechCrunch que todas las fallas reportadas se solucionarán en 2023, pero se negó a decir si a los clientes afectados se les notificó que su información se había visto comprometida.
“Podemos confirmar que una vez que se identificaron las fallas y vulnerabilidades reportadas en 2023, se investigaron a fondo y se abordaron rápida y completamente”, dijo a TechCrunch Sudeep Bala, jefe de comunicaciones de Tata Motors.
«Nuestra infraestructura es auditada periódicamente por una empresa líder en ciberseguridad y mantenemos registros de acceso completos para monitorear actividades fraudulentas. También colaboramos activamente con expertos de la industria e investigadores de seguridad para fortalecer nuestra postura de seguridad y mitigar los riesgos potenciales de manera oportuna», dijo Barra.
Source link
