Hacking India's largest automaker: Tata Motors

Исследователь обнаружил критические уязвимости в системах крупнейшего индийского автопроизводителя Tata Motors. Два открытых ключа AWS на публичных сайтах позволили получить доступ к более чем 70 ТБ чувствительных данных. На сайте E-Dukaan (маркетплейс запчастей) ключи были в открытом виде, раскрывая базы данных клиентов, финансовые отчеты и административные документы. На платформе FleetEdge ключи были зашифрованы, но легко расшифрованы на стороне клиента для загрузки всего 4 КБ налоговых кодов.

Также были найдены серьезные проблемы безопасности в системе Tableau с бэкдором, позволявшим входить без пароля от имени любого пользователя, включая администратора, и скомпрометированный ключ API Azuga, затронувший систему управления тестовым автопарком. Все уязвимости были исправлены, и данных не было похищено. Tata Motors, несмотря на статус крупнейшего автопроизводителя Индии, остается малоизвестным в США.

Комментарии (85)

Tata Motors, TCS и другие компании группы Tata оказались в центре скандала из-за утечки ключей AWS, что, по слухам, могла стоить экономике Великобритании 2.5 млрд фунтов.
Проблема в том, что ключи были в открытом доступе на сайтах этих компаний, и, несмотря на то, что их обнаружили и сообщили о них, Tata Motors не проявила никакой инициативы по их отзыву до тех пор, пока не прошло 3 месяца.
В обсуждении также поднимается вопрос о том, что в Индии в целом и в компаниях Tata в частности культура безопасности оставляет желать лучшего.
Кроме того, обсуждается влияние этой ситуации на восприятие Индийских компаний в технологическом секторе и на рынке труда.