كشفت تقارير أمنية عن عدد من الثغرات في مواقع شركة تاتا موتورز الهندية، من بينها منصات مثل E-Dukaan وFleetEdge وcvtestdrive.tatamotors[.]com، ما أدى إلى تسريب مفاتيح واجهات برمجة التطبيقات الخاصة بـ Azuga، ومفتاحين لخدمة AWS، بالإضافة إلى حساب “خلفي” مزروع داخل النظام أتاح وصولًا غير مصرح به إلى أكثر من 70 تيرابايت من المعلومات الحساسة والبنى التحتية، موزعة على مئات من حاويات التخزين السحابية.
وصول إلى أنظمة اختبار القيادة وتحكم في البيانات التحليلية
أتاحت هذه الثغرات إمكانية اختراق نظام إدارة أسطول سيارات الاختبار الخاص بالشركة، إلى جانب الحصول على صلاحيات المدير (Admin) لحساب Tableau تُديره المجموعة، ما يُظهر خطورة الخلل واتساع نطاق الوصول الذي كان ممكنًا عبر تلك الثغرات.
معالجة الثغرات بعد بلاغ أمني مسؤول
تعود تفاصيل القضية إلى أغسطس 2023، حين قدّم الباحث الأمني إيتون زفيار (Eaton Zveare) بلاغًا مسؤولًا بالتنسيق مع فريق الاستجابة للطوارئ الحاسوبية في الهند (CERT-In)، حيث تم التعامل مع نقاط الضعف ومعالجتها بشكل كامل بحلول يناير 2024.
سوابق بحثية مشابهة في شركات كبرى
زفيار، المعروف بأبحاثه في كشف عيوب الأمان لدى الشركات العالمية، كان قد عرض في وقت سابق طرقًا لاختراق المواقع الداخلية لشركة إنتل، كما اكتشف ثغرات في منصة مركزية لإدارة وكلاء السيارات لدى إحدى شركات صناعة السيارات الأمريكية، والتي كان من الممكن استغلالها لإنشاء حساب إداري وطني يمنح سيطرة كاملة على أكثر من 1000 وكالة سيارات داخل الولايات المتحدة.
وفي حادثة أخرى، حدد الباحث ثغرة أمنية على مستوى واجهات البرمجة (API) في منصة غير مُسماة كانت تتيح تنفيذ أوامر تشغيل وإيقاف لمولدات الطاقة، قبل أن يتم إصلاحها في أكتوبر 2023، لتتوقف المنصة عن العمل لاحقًا.
