Hindistan’ın en büyük otomobil üreticisi ve küresel otomotiv endüstrisindeki önemli bir oyuncu olan Tata Motors, çok sayıda güvenlik arızası nedeniyle 70 terabayttan fazla hassas bilgiyi açığa çıkaran feci bir veri ifşasına maruz kaldı.
2023’te keşfedilen ihlaller arasında, halka açık web sitelerinde açığa çıkan AWS kimlik bilgileri, şifresi kolayca çözülebilen şifrelenmiş anahtarlar, sıfır kimlik doğrulama gereksinimi olan bir Tableau arka kapısı ve filo yönetim sistemlerinden gelen korumasız bir API anahtarı yer alıyordu.
Her bir güvenlik açığı bağımsız olarak ciddi riskler oluşturuyordu ancak birlikte, saldırganların müşteri veritabanlarına, mali kayıtlara, fatura verilerine, onlarca yıllık filo bilgilerine ve kritik yönetim sistemlerine erişmesine olanak verebilecek mükemmel bir fırtına yarattılar.
Aws Anahtarları E-Dukaan Pazarında Ortaya Çıktı
İlk kritik güvenlik açığı Tata Motors’un yedek parça e-ticaret platformu E-Dukaan’da ortaya çıktı.
Güvenlik araştırmacıları, doğrudan web sitesinin kaynak koduna sabit kodlanmış düz metin AWS erişim anahtarlarını keşfetti.
Bu kimlik bilgileri, eksiksiz müşteri veritabanı yedeklemeleri, pazar istihbarat raporları, kişisel kimlik numaralarını içeren yüz binlerce fatura ve yaklaşık 40 gigabaytlık idari sipariş raporları dahil olmak üzere endişe verici miktarda hassas veri koleksiyonu içeren Amazon S3 klasörlerine sınırsız erişim sağladı.
Anahtarlar, vergi kodlarını içeren 4 kilobaytlık tek bir dosyayı indirmek için kullanıldığından, açığa çıkma özellikle rahatsız ediciydi; bu, olağanüstü derecede minimum operasyonel fayda için çok büyük bir güvenlik riskini temsil ediyordu.
FleetEdge filo yönetimi platformu, ilk bakışta şifrelenmiş gibi görünen ikinci bir AWS kimlik bilgisi seti içeriyordu; bu da geliştiricilerin E-Dukaan hatalarından ders aldığını gösteriyordu.
Ancak şifreleme yalnızca istemci tarafında yapılıyordu; bu, temel teknik bilgiye sahip herkesin anahtarları saniyeler içinde çıkarabileceği ve şifresini çözebileceği anlamına geliyordu.
Bu, hem şifrelenmiş veriler hem de şifre çözme anahtarları aynı sistemde mevcut olduğunda, istemci tarafı şifrelemenin anlamlı bir güvenlik sağladığına dair tehlikeli bir yanılgıyı temsil eder.
Açığa çıkan kimlik bilgileri, 1996’ya kadar uzanan geçmiş filo istihbarat verileri de dahil olmak üzere, tek bir grupta depolanan yaklaşık 70 terabaytlık veriye erişim sağladı.
Bu açığa çıkma aynı zamanda birden fazla web sitesine yazma erişimi sağlayarak saldırganların kötü amaçlı yazılım yerleştirmesine olanak sağladı.
E-Dukaan platformu, kaynak kodu yorumlarında sabit kodlanmış Tableau kimlik bilgileri içeriyordu, ancak daha da önemlisi, geliştiriciler hatalı bir kimlik doğrulama sistemi uygulamıştı.
Güvenlik açığı bulunan kod, kullanıcıların yalnızca kullanıcı adı ve site adını kullanarak, şifre gerekliliklerini tamamen atlayarak “güvenilir tokenlar” elde etmelerine olanak sağladı.
Güvenlik araştırmacıları, sunucu yöneticileri de dahil olmak üzere sistemdeki herhangi bir kullanıcının kimliğine bürünebileceklerini ve sayısız dahili proje, mali rapor ve bayiye özel bilgi içeren Tableau gösterge tabloları üzerinde tam kontrol elde edebileceklerini gösterdi.
Bu kimlik doğrulama atlaması, web sitesinin kaynak koduna erişimi olan herhangi bir kişinin (yetkili bir kullanıcı olması gerekmiyor) yönetici olabileceği anlamına geliyordu.
Test sürüşü yönetim sistemi, JavaScript kaynak koduna sabit kodlanmış bir Azuga API anahtarına dayanıyordu.
Açığa çıkan bu kimlik bilgisi, filo yönetim platformuna doğrudan erişim sağladı ve potansiyel olarak yetkisiz kişilerin araç konumlarını takip etmesine ve test sürüşü operasyonlarını gerçek zamanlı olarak izlemesine olanak tanıdı.
Güvenlik açığı, geliştiricilerin istemci tarafı kodunu hassas kimlik bilgileri için güvenli bir konum olarak değerlendiren daha geniş bir modeli ortaya çıkardı.
Güvenlik sorunları, 8 Ağustos 2023’te Hindistan’ın Bilgisayar Acil Durum Müdahale Ekibi (CERT-IN) aracılığıyla Tata Motors’a bildirildi, ancak düzeltmenin sinir bozucu derecede yavaş olduğu ortaya çıktı.
Tata Motors, 1 Eylül’e kadar alındığını kabul edip düzeltme talep ederken, takip doğrulaması 4 sorundan yalnızca 2’sinin giderildiğini ve AWS anahtarlarının her iki web sitesinde de etkin kaldığını ortaya çıkardı.
Belirli iyileştirme adımlarını açıklayan aylarca süren karşılıklı iletişimin ardından şirketin açığa çıkan kimlik bilgilerini tamamen iptal etmesi Ocak 2024’e kadar sürdü.
Bu güvenlik açıkları, büyük uluslararası şirketlerin bile kimlik bilgilerinin sabit kodlanması, anlamsız istemci tarafı şifreleme kullanılması ve ciddi mantıksal kusurlara sahip kimlik doğrulama sistemlerinin uygulanması gibi temel güvenlik hatalarına yenik düşebileceğini gösterdi.
Tata Motors’tan araç satın alan müşteriler için bu ihlaller, büyük otomotiv kuruluşlarındaki veri koruma standartlarıyla ilgili ciddi soruları gündeme getirdi.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.