Tata Motors Güvenlik Açıklarını Giderdi: Müşteri Verileri Artık Güvende

Hindistan’ın otomotiv devi Tata Motors, şirket içi veriler ile müşteri bilgilerini tehlikeye atan bir dizi güvenlik açığını kapattığını duyurdu.

Güvenlik araştırmacısı Eaton Zveare, TechCrunch’a verdiği demeçte, Tata Motors’un E-Dukaan biriminde, yani Tata markalı ticari araçlar için yedek parça alımına yönelik e-ticaret portalında güvenlik açıkları keşfettiğini belirtti. Mumbai merkezli Tata Motors, hem yolcu araçları hem de ticari ve savunma araçları üretmektedir. Şirketin, dünya genelinde 125 ülkede varlığı ve yedi montaj tesisi bulunmaktadır.

Zveare, portalın web kaynak kodunda, Tata Motors’un Amazon Web Services (AWS) üzerindeki hesap bilgilerine erişim ve bu verileri değiştirme yetkisi veren özel anahtarların bulunduğunu açıkladı.

Açığa çıkan veriler arasında, müşteri bilgilerini içeren yüz binlerce fatura yer alıyordu. Bu bilgiler, müşterilerin isimleri, posta adresleri ve Hindistan hükümeti tarafından verilen on karakterlik benzersiz bir kimlik numarası olan PAN gibi detayları içeriyordu.

Zveare, “Tata Motors’ta büyük bir alarm veya yüksek maliyetli bir veri sızıntısı yaratmamak adına, yüksek miktarda veri çıkarmak veya büyük dosyalar indirmek için herhangi bir girişimde bulunmadım” şeklinde konuştu.

Ayrıca, MySQL veritabanı yedekleri ve çeşitli özel müşteri bilgilerini içeren Apache Parquet dosyaları da bulunduğu gözlemlendi.

AWS anahtarlarının, Tata Motors’un FleetEdge filo izleme yazılımına ait 70 terabaytlık verilere erişim sağladığı belirtildi. Zveare, ayrıca 8,000’den fazla kullanıcının verilerini içeren bir Tableau hesabına arka kapı erişimi buldu.

Zveare, “Sunucu yöneticisi olarak, bunun tümüne erişiminiz vardı. Bu, iç finansal raporlar, performans raporları, bayii puan kartları ve çeşitli panolar gibi verileri içeriyordu” dedi.

Açığa çıkan veriler arasında, Tata Motors’un test sürüşü web sitesini destekleyen Azuga filo yönetim platformuna API erişimi de bulunuyordu.

Zveare, bu sorunları, CERT-In olarak bilinen Hindistan bilgisayar acil durum müdahale ekibi aracılığıyla Tata Motors’a Ağustos 2023’te bildirdi. Ekim 2023’te ise Tata Motors, başlangıçtaki açıkları güvence altına aldıktan sonra AWS sorunlarını gidermeye çalıştığını bildirdi; ancak sorunların ne zaman düzeltildiğini belirtmedi.

Tata Motors, TechCrunch’a yaptığı açıklamada, rapor edilen tüm açıkların 2023 yılında giderildiğini doğruladı, fakat etkilenen müşterilere bilgi verilip verilmediği konusunda bir açıklama yapmadı.

Tata Motors’un iletişim sorumlusu Sudeep Bhalla, TechCrunch ile yaptığı görüşmede, “Rapor edilen açıklar ve zayıflıklar 2023 yılında tespit edildikten sonra titizlikle incelendi ve hızla ve tamamen giderildi” dedi.

Bhalla, ayrıca, “Altyapımız, önde gelen siber güvenlik firmaları tarafından düzenli olarak denetlenmektedir ve yetkisiz etkinlikleri izlemek için kapsamlı erişim kayıtları tutmaktayız. Ayrıca, güvenlik durumumuzu güçlendirmek ve potansiyel risklerin zamanında azaltılmasını sağlamak için endüstri uzmanları ve güvenlik araştırmacıları ile aktif olarak işbirliği yapıyoruz” ifadelerini kullandı.