متابعة – أمل علوي
قامت شركة السيارات الهندية العملاقة تاتا موتورز بإصلاح سلسلة من العيوب الأمنية التي كشفت عن بيانات داخلية حساسة، بما في ذلك المعلومات الشخصية للعملاء وتقارير الشركة والبيانات المتعلقة بتجارها.
صرح الباحث الأمني إيتون زفير لـ TechCrunch أنه اكتشف العيوب في شركة Tata Motors الدكان الإلكتروني وحدة، وهي بوابة للتجارة الإلكترونية لشراء قطع غيار للمركبات التجارية من صنع شركة تاتا. يقع المقر الرئيسي لشركة تاتا موتورز في مومباي، وتنتج سيارات الركاب، فضلاً عن المركبات التجارية والدفاعية. الشركة لديها تواجد في 125 دولة حول العالم وسبعة مرافق تجميع، بحسب موقعها الإلكتروني.
وقال زفير إنه وجد أن كود مصدر الويب الخاص بالبوابة يتضمن المفاتيح الخاصة للوصول إلى البيانات وتعديلها داخل حساب شركة تاتا موتورز على خدمات أمازون ويب، حسبما قال الباحث في مقال. مشاركة مدونة.
وقال زفير لموقع TechCrunch إن البيانات المكشوفة تضمنت مئات الآلاف من الفواتير التي تحتوي على معلومات العملاء، مثل أسمائهم وعناوينهم البريدية ورقم الحساب الدائم، أو PAN، وهو معرف فريد مكون من عشرة أحرف صادر عن الحكومة الهندية.
وقال الباحث لـ TechCrunch: “احترامًا لعدم التسبب في نوع من جرس الإنذار أو فاتورة الخروج الضخمة في شركة Tata Motors، لم تكن هناك محاولات لتسلل كميات كبيرة من البيانات أو تنزيل ملفات كبيرة جدًا”.
وأشار الباحث إلى أن هناك أيضًا نسخًا احتياطية لقاعدة بيانات MySQL وملفات Apache Parquet التي تتضمن أجزاء مختلفة من معلومات العملاء الخاصة واتصالاتهم.
أتاحت مفاتيح AWS أيضًا الوصول إلى أكثر من 70 تيرابايت من البيانات المتعلقة بشركة Tata Motors فليت إيدج برنامج تتبع الأسطول. عثر Zveare أيضًا على وصول إداري مستتر إلى حساب Tableau، والذي يتضمن بيانات أكثر من 8000 مستخدم.
حدث تك كرانش
سان فرانسيسكو
|
27-29 أكتوبر 2025
قال الباحث: “باعتبارك مسؤول الخادم، كان لديك حق الوصول إلى كل ذلك. ويشمل ذلك في المقام الأول أشياء مثل التقارير المالية الداخلية، وتقارير الأداء، وبطاقات أداء الموزع، ولوحات المعلومات المختلفة”.
وتضمنت البيانات المكشوفة أيضًا الوصول إلى واجهة برمجة التطبيقات (API) لمنصة إدارة الأسطول الخاصة بشركة Tata Motors، Azuga، والتي تعمل على تشغيل موقع اختبار القيادة الخاص بالشركة.
بعد وقت قصير من اكتشاف المشكلات، أبلغت شركة Zveare شركة Tata Motors عنها من خلال فريق الاستجابة لطوارئ الكمبيوتر الهندي، المعروف باسم CERT-In، في أغسطس 2023. وفي وقت لاحق في أكتوبر 2023، أخبرت شركة Tata Motors شركة Zveare أنها تعمل على إصلاح مشكلات AWS بعد تأمين الثغرات الأولية. ومع ذلك، لم تذكر الشركة متى تم إصلاح المشكلات.
وأكدت شركة Tata Motors لـ TechCrunch أنه تم إصلاح جميع العيوب المبلغ عنها في عام 2023، لكنها لم تذكر ما إذا كانت قد أخطرت العملاء المتأثرين بأن معلوماتهم قد تم الكشف عنها.
وقال سوديب بهالا، رئيس الاتصالات في شركة تاتا موتورز، عندما اتصلت به TechCrunch: “يمكننا أن نؤكد أن العيوب ونقاط الضعف المبلغ عنها تمت مراجعتها بدقة بعد تحديدها في عام 2023 وتمت معالجتها على الفور وبشكل كامل”.
وقال بهالا: “تتم مراجعة بنيتنا التحتية بانتظام من قبل شركات الأمن السيبراني الرائدة، ونحتفظ بسجلات وصول شاملة لمراقبة النشاط غير المصرح به. كما نتعاون بشكل نشط مع خبراء الصناعة والباحثين الأمنيين لتعزيز وضعنا الأمني وضمان التخفيف من المخاطر المحتملة في الوقت المناسب”.
هذا المحتوي تم باستخدام أدوات الذكاء الإصطناعي
