Tata Motors’da Güvenlik Açığı Keşfedildi
Hindistan’ın otomotiv devi Tata Motors, müşteri kişisel bilgileri, şirket raporları ve bayilere ait veriler dahil olmak üzere, hassas dahili verilere erişimi sağlayan bir dizi güvenlik açığını gidermiştir.
Güvenlik Araştırmacısı Eaton Zveare’nin Keşfi
Güvenlik araştırmacısı Eaton Zveare, Tata Motors’un E-Dukaan birimindeki açıkları keşfetti. E-Dukaan, Tata markalı ticari araçlar için yedek parça satın alınabilen bir e-ticaret portalıdır. Merkezi Mumbai’de bulunan Tata Motors, hem yolcu araçları hem de ticari ve savunma araçları üretmektedir.
Açıkların Detayları
Zveare, portaldaki web kaynak kodunun, Tata Motors’un Amazon Web Services hesabına erişim sağlamak için gereken özel anahtarları içerdiğini bildirdi. Bu açıklar sayesinde, yüz binlerce fatura ve müşteri bilgileri, hatta Hindistan hükümeti tarafından verilen kalıcı hesap numarası (PAN) gibi hassas bilgiler sızdırılabilir hale gelmişti.
Zveare, “Büyük verilerin dışarı çıkması veya aşırı büyük dosyaların indirilmesi için herhangi bir girişimde bulunmadım, zira bu şekilde Tata Motors’ta bir alarm durumu yaratmamak istedim,” şeklinde belirtti.
Ayrıca Zveare, MySQL veritabanı yedeklerinin ve Apache Parquet dosyalarının da çeşitli özel müşteri bilgileri ve iletişim bilgilerini içerdiğini ekledi. Ayrıca, açık AWS anahtarları, Tata Motors’un FleetEdge filo takip yazılımı ile ilgili 70 terabyte’dan fazla veriye de erişim sağladı.
Tata Motors’ın Yanıtı
Tata Motors, Zveare’nin keşfettiği sorunları, Hindistan bilgisayar acil durum yanıt ekibi (CERT-In) aracılığıyla Ağustos 2023’te bildirdi. Ekim 2023’te Tata Motors, AWS sorunları üzerinde çalıştıklarını ve ilk açıkları güvence altına aldıklarını bildirdi, ancak bu sorunların ne zaman çözüleceğine dair bir tarih vermediler.
Tata Motors, TechCrunch’a yaptığı açıklamada, bildirilen açıkların 2023 yılında tam olarak düzeltildiğini onayladı. Ancak, etkilenen müşterilere bilgi verilip verilmediği konusunda herhangi bir yorumda bulunmadı.
Tata Motors’un iletişim müdürü Sudeep Bhalla, “Belirtilen açıklar ve güvenlik zafiyetleri, 2023 yılında belirlendikten sonra titizlikle gözden geçirilmiş ve hızlı bir şekilde tamamen çözülmüştür,” dedi. “Altyapımız, önde gelen siber güvenlik firmaları tarafından periyodik olarak denetlenmektedir ve yetkisiz faaliyetleri izlemek için kapsamlı erişim günlükleri tutmaktayız.”
Bhalla, “Ayrıca, potansiyel riskleri zamanında azaltmak için sektör uzmanları ve güvenlik araştırmacılarıyla aktif olarak iş birliği yapmaktayız,” diye ekledi.