قامت شركة السيارات الهندية العملاقة تاتا موتورز بإصلاح سلسلة من العيوب الأمنية التي كشفت عن بيانات داخلية حساسة، بما في ذلك المعلومات الشخصية للعملاء وتقارير الشركة والبيانات المتعلقة بتجارها.
صرح الباحث الأمني إيتون زفير لـ TechCrunch أنه اكتشف العيوب في وحدة E-Dukaan التابعة لشركة Tata Motors، وهي بوابة تجارة إلكترونية لشراء قطع غيار للمركبات التجارية من صنع Tata. يقع المقر الرئيسي لشركة تاتا موتورز في مومباي، وتنتج سيارات الركاب، فضلاً عن المركبات التجارية والدفاعية. وتتمتع الشركة بحضور في 125 دولة حول العالم ولديها سبعة مرافق تجميع، وفقًا لموقعها الإلكتروني.
قال زفير إنه وجد أن كود مصدر الويب الخاص بالبوابة يتضمن المفاتيح الخاصة للوصول إلى البيانات وتعديلها داخل حساب شركة Tata Motors على Amazon Web Services، حسبما قال الباحث في منشور بالمدونة.
وقال زفير لموقع TechCrunch إن البيانات المكشوفة تضمنت مئات الآلاف من الفواتير التي تحتوي على معلومات العملاء، مثل أسمائهم وعناوينهم البريدية ورقم الحساب الدائم، أو PAN، وهو معرف فريد مكون من عشرة أحرف صادر عن الحكومة الهندية.
وقال الباحث لـ TechCrunch: “احترامًا لعدم التسبب في نوع من جرس الإنذار أو فاتورة الخروج الضخمة في شركة Tata Motors، لم تكن هناك محاولات لتسلل كميات كبيرة من البيانات أو تنزيل ملفات كبيرة جدًا”.
وأشار الباحث إلى أن هناك أيضًا نسخًا احتياطية لقاعدة بيانات MySQL وملفات Apache Parquet التي تتضمن أجزاء مختلفة من معلومات العملاء الخاصة واتصالاتهم.
أتاحت مفاتيح AWS أيضًا إمكانية الوصول إلى أكثر من 70 تيرابايت من البيانات المتعلقة ببرنامج تتبع الأسطول FleetEdge من شركة Tata Motors. عثر Zveare أيضًا على وصول إداري مستتر إلى حساب Tableau، والذي يتضمن بيانات أكثر من 8000 مستخدم.
حدث تك كرانش
سان فرانسيسكو
|
27-29 أكتوبر 2025
قال الباحث: “باعتبارك مسؤول الخادم، كان لديك حق الوصول إلى كل ذلك. ويشمل ذلك في المقام الأول أشياء مثل التقارير المالية الداخلية، وتقارير الأداء، وبطاقات أداء الموزع، ولوحات المعلومات المختلفة”.
وتضمنت البيانات المكشوفة أيضًا الوصول إلى واجهة برمجة التطبيقات (API) لمنصة إدارة الأسطول الخاصة بشركة Tata Motors، Azuga، والتي تعمل على تشغيل موقع اختبار القيادة الخاص بالشركة.
بعد وقت قصير من اكتشاف المشكلات، أبلغت شركة Zveare شركة Tata Motors عنها من خلال فريق الاستجابة لطوارئ الكمبيوتر الهندي، المعروف باسم CERT-In، في أغسطس 2023. وفي وقت لاحق في أكتوبر 2023، أخبرت شركة Tata Motors شركة Zveare أنها تعمل على إصلاح مشكلات AWS بعد تأمين الثغرات الأولية. ومع ذلك، لم تذكر الشركة متى تم إصلاح المشكلات.
وأكدت شركة Tata Motors لـ TechCrunch أنه تم إصلاح جميع العيوب المبلغ عنها في عام 2023، لكنها لم تذكر ما إذا كانت قد أخطرت العملاء المتأثرين بأن معلوماتهم قد تم الكشف عنها.
وقال سوديب بهالا، رئيس الاتصالات في شركة تاتا موتورز، عندما اتصلت به TechCrunch: “يمكننا أن نؤكد أن العيوب ونقاط الضعف المبلغ عنها تمت مراجعتها بدقة بعد تحديدها في عام 2023 وتمت معالجتها على الفور وبشكل كامل”.
وقال بهالا: “تتم مراجعة بنيتنا التحتية بانتظام من قبل شركات الأمن السيبراني الرائدة، ونحتفظ بسجلات وصول شاملة لمراقبة النشاط غير المصرح به. كما نتعاون بشكل نشط مع خبراء الصناعة والباحثين الأمنيين لتعزيز وضعنا الأمني وضمان التخفيف من المخاطر المحتملة في الوقت المناسب”.
