Güvenlik araştırmacısı Eaton Zveare, Tata Motors sistemlerindeki, müşterinin kişisel bilgileri, mali raporlar ve filo yönetimi ayrıntıları da dahil olmak üzere 70 terabayttan fazla hassas veriyi açığa çıkaran kritik güvenlik açıklarını ortaya çıkardı.
2023’teki etik hackleme sırasında ortaya çıkarılan ancak ancak şimdi kamuya açık olarak paylaşılan kusurlar, halka açık web sitelerinde sabit kodlanmış AWS erişim anahtarlarını içeriyordu ve yüzlerce bulut depolama paketine yetkisiz erişim sağlıyordu.
Bu ihlal, büyük otomobil üreticilerinin dijital altyapısında devam eden risklerin altını çiziyor ve potansiyel olarak milyonlarca müşteri ve bayiye ait verilerin riske atılmasına neden oluyor.
Tata Motors’un araç yedek parçalarına yönelik bir e-ticaret sitesi olan E-Dukaan platformu, doğrudan kaynak kodunda düz metin AWS kimlik bilgileri içeriyordu ve herkesin gizli dosyaların bulunduğu geniş havuzlara erişmesine olanak tanıyordu.
Bu anahtarlar, müşteri veritabanı yedeklemelerinin, pazar istihbaratına sahip listelerin ve adlar, adresler ve Hint PAN numaraları gibi kişisel ayrıntıları ortaya çıkaran yüz binlerce faturanın kilidini açtı.
Tek başına bir kovada yaklaşık 40 GB’lık yönetici sipariş raporu bulunuyordu; bu da açığa çıkan ticari verilerin büyük hacminin altını çiziyordu. Zveare, anahtarların yalnızca 4 KB’lık küçük bir vergi kodu dosyasını getirmek için kullanıldığını, bunun da bu tür kapsamlı riskler için asgari bir gerekçe olduğunu belirtti.
FleetEdge Sistemindeki Şifresi Çözülebilir Kimlik Bilgileri
Benzer bir sorun, Tata’nın filo izleme çözümü FleetEdge’de de yaşandı; burada AWS anahtarları API yanıtlarında şifrelenmiş görünüyordu ancak şifreleri istemci tarafı kod aracılığıyla kolayca çözülüyordu.
Intel’deki son zamanlardaki kusurlara benzeyen bu “anlamsız” şifreleme, 1996’ya kadar uzanan 70 TB’ın üzerinde filo içgörüsü içeren bir veri gölü de dahil olmak üzere başka bir veri yığınını açığa çıkardı.
Saldırganlar yalnızca geçmiş araç verilerini indirmekle kalmıyor, aynı zamanda bağlı web sitelerine kötü amaçlı yazılım da yükleyebiliyor ve bu da operasyonel güvenliğe yönelik tehdidi artırıyor. Keşif, istemciye yönelik uygulamalardaki zayıf anahtar yönetimi uygulamalarını vurguladı.
Riskleri bir araya getiren E-Dukaan’ın kodu, Tableau kontrol panellerine bir arka kapı içeriyordu ve sunucu yöneticisi de dahil olmak üzere herhangi bir kullanıcının “güvenilir token” mekanizması aracılığıyla şifresiz oturum açmasına olanak tanıyordu.
Bu, dahili projelere, mali raporlara, bayi puan kartlarına ve 8.000’den fazla kullanıcıya ait verilere tam erişim sağladı. Ayrı olarak, test sürüşü web sitesinin JavaScript’inde açığa çıkan bir Azuga API anahtarı, gösteri araçları için filo yönetimini tehlikeye attı ve potansiyel olarak gerçek zamanlı konum takibini ortaya çıkardı. Zveare, veri sızıntısını önlemek için daha derin araştırmaları durdurdu ve test sırasında herhangi bir kötü amaçlı etkinlik olmadığını doğruladı.
Güvenlik açıkları 8 Ağustos 2023’te Hindistan’ın CERT-In’i aracılığıyla bildirildi, ancak tekrarlanan takipler nedeniyle düzeltme Ocak 2024’e kadar sürdü. Tata Motors, 2023’te etkilenen taraflara bildirimde bulunmadan düzeltmeleri doğruladı ve bu da şeffaflıkla ilgili soruları gündeme getirdi.
125 ülkede faaliyet gösteren Hindistan’ın en büyük otomobil üreticisi olarak bu tür aksaklıklar, araç sahiplerinin veri işleme konusundaki güvenini sarsıyor. Uzmanlar, gelecekteki açığa çıkmaları önlemek için gelişmiş kod incelemeleri ve gizli rotasyon yapılmasını öneriyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
