A titã automobilística indiana Tata Motors corrigiu uma série de imperfeições de segurança que sujeitavam informações internas delicadas, incluindo informações individuais de consumidores, registros comerciais e informações relacionadas a seus fornecedores.
O cientista de segurança Eaton Zveare disse ao TechCrunch que encontrou as imperfeições no dispositivo E-Dukaan da Tata Motors, um site de comércio eletrônico para obter componentes extras para automóveis industriais fabricados pela Tata. Com sede em Mumbai, a Tata Motors produz automóveis, bem como veículos industriais e de proteção. A empresa está presente em 125 países em todo o mundo e 7 centros de instalação, de acordo com seu site.
Zveare afirmou ter descoberto que o código de recurso da Internet do site consistia em truques pessoais para acessar e personalizar informações na conta da Tata Motors na Amazon Internet Solutions, afirmou o cientista em um post.
Os dados submetidos, disse Zveare ao TechCrunch, consistiam em milhares de centenas de faturas que consistiam em informações do consumidor, como seus nomes, endereços de envio por correio e número de conta irreversível, ou frigideira, um identificador único de dez caracteres fornecido pelo governo federal indiano.
“Por não acionar algum tipo de campainha do sistema de alarme ou grandes custos de saída na Tata Motors, não houve esforços para exfiltrar grandes quantidades de informações ou baixar e instalar documentos excessivamente grandes”, disse o cientista ao TechCrunch.
Havia também backups de fontes de dados MySQL e envios do Apache Parquet que consistiam em vários pequenos pedaços de informações e interações pessoais do usuário, lembrou o cientista.
Os truques da AWS também possibilitaram o acesso a mais de 70 terabytes de dados conectados ao software de rastreamento de frota FleetEdge da Tata Motors. Zveare também encontrou acesso administrativo backdoor a uma conta do Tableau, que incluía dados de mais de 8.000 usuários.
Evento Techcrunch
São Francisco
|
27 a 29 de outubro de 2025
“Como administrador do servidor web, você tinha acesso a tudo isso. Isso inclui principalmente coisas como registros financeiros internos, registros de desempenho, scorecards de fornecedores e vários painéis de controle”, afirmou o cientista.
Os dados questionados também incluíam o acesso API ao sistema de gerenciamento de frota da Tata Motors, Azuga, que alimenta o site da unidade de teste da empresa.
Logo após descobrir os problemas, Zveare os relatou à Tata Motors com o grupo de feedback de situação de emergência do sistema de computador indiano, conhecido como CERT-In, em agosto de 2023. Mais tarde, em outubro de 2023, a Tata Motors informou a Zveare que estava cuidando dos problemas da AWS após proteger os detalhes técnicos iniciais. No entanto, a empresa não reivindicou quando os problemas foram reparados.
A Tata Motors confirmou ao TechCrunch que todas as imperfeições relatadas foram reparadas em 2023, mas certamente não reivindicaria se informasse aos consumidores afetados que suas informações foram expostas.
“Podemos verificar que as imperfeições e suscetibilidades relatadas foram completamente examinadas após seu reconhecimento em 2023 e foram imediata e totalmente atendidas”, afirmou Sudeep Bhalla, chefe de interações da Tata Motors, quando chamado pelo TechCrunch.
“Nossas instalações são examinadas rotineiramente pelas principais empresas de segurança cibernética e mantemos extensos registros de acessibilidade para ficar de olho em tarefas não aprovadas. Além disso, nos unimos proativamente a especialistas de mercado e cientistas de segurança para reforçar nossa postura de segurança e garantir a redução imediata de perigos potenciais”, afirmou Bhalla.
.
Fuente
