भारतीय ऑटोमोटिव दिग्गज टाटा मोटर्स ने चुपचाप एक बड़े पैमाने पर सुरक्षा उल्लंघन को सुलझा लिया है, जिससे 70 टेराबाइट्स से अधिक संवेदनशील डेटा उजागर हो गया है, जिसमें सैकड़ों हजारों ग्राहक चालान, आंतरिक वित्तीय रिपोर्ट और डीलर की जानकारी शामिल है। 2023 में सुरक्षा शोधकर्ता ईटन ज़्वेरे द्वारा खोजी गई कमजोरियाँ कंपनी के ई-कॉमर्स पोर्टल स्रोत कोड में उजागर AWS कुंजियों से उत्पन्न हुईं।
टाटा मोटर्स125 देशों में परिचालन वाली भारत की ऑटोमोटिव पावरहाउस ने पुष्टि की है कि उसने महत्वपूर्ण सुरक्षा खामियों को दूर कर लिया है, जिससे संभावित हमलावरों के लिए संवेदनशील डेटा का खजाना खुला रह गया है। सुरक्षा शोधकर्ता ईटन ज़वेरे द्वारा खोजे गए उल्लंघन ने आश्चर्यजनक रूप से बुनियादी निरीक्षण के माध्यम से ग्राहक की व्यक्तिगत जानकारी से लेकर आंतरिक वित्तीय डैशबोर्ड तक सब कुछ उजागर कर दिया।
भेद्यता पर केन्द्रित है टाटा का ई-दुकान पोर्टलवाणिज्यिक वाहन स्पेयर पार्ट्स के लिए एक ई-कॉमर्स मंच। ज़्वेरे ने पाया कि पोर्टल के वेब स्रोत कोड में हार्डकोडेड AWS निजी कुंजियाँ शामिल हैं – जो अनिवार्य रूप से कंपनी के क्लाउड इंफ्रास्ट्रक्चर के लिए मास्टर पासवर्ड हैं। ज़्वेरे ने बताया, “टाटा मोटर्स में किसी प्रकार की खतरे की घंटी या बड़े पैमाने पर निकास बिल नहीं होने के सम्मान में, बड़ी मात्रा में डेटा को बाहर निकालने का कोई प्रयास नहीं किया गया था।” टेकक्रंच.
उन चाबियों से जो खुला वह चौंका देने वाला था। नाम, पते और पैन नंबर वाले सैकड़ों हजारों ग्राहक चालान – भारत के सामाजिक सुरक्षा नंबरों के बराबर – MySQL डेटाबेस बैकअप और Apache Parquet फ़ाइलों के साथ प्रदर्शित किए गए। शोधकर्ता ने 8,000 से अधिक उपयोगकर्ता रिकॉर्ड के साथ टेब्लू खाते में पिछले दरवाजे से व्यवस्थापक पहुंच और 70+ टेराबाइट फ्लीट डेटा वाले टाटा के फ्लीटएज ट्रैकिंग सॉफ़्टवेयर तक पूर्ण पहुंच की भी खोज की।
“सर्वर व्यवस्थापक के रूप में, आपके पास इन सभी तक पहुंच थी। इसमें मुख्य रूप से आंतरिक वित्तीय रिपोर्ट, प्रदर्शन रिपोर्ट, डीलर स्कोरकार्ड और विभिन्न डैशबोर्ड जैसी चीजें शामिल हैं,” ज़्वेरे ने अपने में बताया विस्तृत ब्लॉग पोस्ट. यह एक्सपोज़र टाटा की टेस्ट ड्राइव वेबसाइट को शक्ति देने वाले बेड़े प्रबंधन प्लेटफ़ॉर्म अज़ुगा के लिए एपीआई एक्सेस तक भी बढ़ा दिया गया है।
समयरेखा कॉर्पोरेट प्रकटीकरण प्रथाओं के बारे में सवाल उठाती है। ज़ेवियर ने अगस्त 2023 में भारत के CERT-In के माध्यम से कमजोरियों की सूचना दी, टाटा ने अक्टूबर 2023 तक AWS मुद्दों को स्वीकार किया। हालाँकि, कंपनी ने कभी भी कोई विशिष्ट निश्चित तारीख नहीं बताई, और जब TechCrunch द्वारा ग्राहक अधिसूचना के बारे में दबाव डाला गया, तो टाटा चुप रहा।
टाटा मोटर्स के संचार प्रमुख सुदीप भल्ला ने कहा, “हम पुष्टि कर सकते हैं कि 2023 में उनकी पहचान के बाद रिपोर्ट की गई खामियों और कमजोरियों की गहन समीक्षा की गई और तुरंत और पूरी तरह से संबोधित किया गया।” कंपनी ने अपने नियमित सुरक्षा ऑडिट और साइबर सुरक्षा फर्मों के साथ सहयोग पर जोर दिया, लेकिन तथ्य यह है कि AWS कुंजी को सार्वजनिक-सामना वाले स्रोत कोड में हार्डकोड किया गया था, जो बुनियादी सुरक्षा प्रथाओं में अंतराल का सुझाव देता है।
