印度汽车巨头Tata Motors近期证实,已修复造成公司与客户敏感信息泄露的多项安全漏洞。安全研究员Eaton Zveare向TechCrunch披露,他在Tata Motors的E-Dukaan电商门户中发现了用于访问和修改Amazon Web Services账户数据的私密密钥。这些密钥暴露造成包括数十万包含客户姓名、地址及印度政府发放的永久账户号码(PAN)的发票,以及涉及公司财报、经销商数据和各类内部资料的大量文件面临风险。
此次曝光还涉及MySQL数据库备份、Apache Parquet文件、FleetEdge车队跟踪平台逾70TB的相关数据,以及8,000多位用户的Tableau分析仪表盘后门管理员访问权限。甚至还开放了对Azuga车队管理平台API的访问。
Zveare表示,发现问题后已于2023年8月经印度计算机应急响应团队(CERT-In)向Tata Motors报告了漏洞,Tata Motors随后在2023年10月回复正着手修复。尽管公司已确认完成所有漏洞修补,但尚未对外说明是否向受影响客户发出通知。