Tata Motors bestätigt, dass Sicherheitslücken behoben wurden, die Unternehmens- und Kundendaten offenlegten
Der indische Automobilgigant Tata Motors hat eine Reihe von Sicherheitslücken behoben, durch die vertrauliche interne Daten offengelegt wurden, darunter persönliche Informationen von Kunden, Unternehmensberichte und Daten seiner Händler.
Der Sicherheitsforscher Eaton Zveare erklärte gegenüber TechCrunch, er habe die Schwachstellen in Tata Motors‘ E-Dukaan- Einheit entdeckt, einem E-Commerce-Portal für den Kauf von Ersatzteilen für Nutzfahrzeuge von Tata. Tata Motors mit Hauptsitz in Mumbai produziert Personenkraftwagen sowie Nutz- und Militärfahrzeuge. Das Unternehmen ist laut seiner Website in 125 Ländern weltweit vertreten und verfügt über sieben Montagewerke.
Zveare sagte, er habe herausgefunden, dass der Web-Quellcode des Portals die privaten Schlüssel für den Zugriff auf und die Änderung von Daten im Konto von Tata Motors bei Amazon Web Services enthielt, so der Forscher in einem Blogbeitrag .
Zu den offengelegten Daten, so Zveare gegenüber TechCrunch, gehörten Hunderttausende von Rechnungen mit Kundeninformationen wie Namen, Postanschriften und der permanenten Kontonummer (PAN), einer zehnstelligen eindeutigen Kennung, die von der indischen Regierung vergeben wird.
„Aus Respekt davor, bei Tata Motors Alarm zu schlagen oder eine hohe Rechnung zu verursachen, gab es keine Versuche, große Datenmengen abzugreifen oder übermäßig große Dateien herunterzuladen“, sagte der Forscher gegenüber TechCrunch.
Es gab auch MySQL-Datenbanksicherungen und Apache-Parquet-Dateien, die verschiedene Teile privater Kundeninformationen und -kommunikation enthielten, stellte der Forscher fest.
Die AWS-Schlüssel ermöglichten zudem den Zugriff auf über 70 Terabyte an Daten der Flottenverfolgungssoftware FleetEdge von Tata Motors. Zveare entdeckte außerdem einen Backdoor-Administratorzugriff auf ein Tableau-Konto, das Daten von über 8.000 Benutzern enthielt.
Techcrunch-Event
San Francisco | 27.-29. Oktober 2025
„Als Serveradministrator hatten Sie Zugriff auf alles. Dazu gehören vor allem Dinge wie interne Finanzberichte, Leistungsberichte, Händler-Scorecards und verschiedene Dashboards“, sagte der Forscher.
Zu den offengelegten Daten gehörte auch der API-Zugriff auf die Flottenmanagementplattform Azuga von Tata Motors, die die Testfahrt-Website des Unternehmens betreibt.
Kurz nach der Entdeckung der Probleme meldete Zveare diese im August 2023 über das indische Computer-Notfallteam (CERT-In) an Tata Motors. Später im Oktober 2023 teilte Tata Motors Zveare mit, dass man an der Behebung der AWS-Probleme arbeite, nachdem die anfänglichen Sicherheitslücken geschlossen worden seien. Das Unternehmen gab jedoch nicht bekannt, wann die Probleme behoben wurden.
Tata Motors bestätigte gegenüber TechCrunch, dass alle gemeldeten Mängel im Jahr 2023 behoben seien, wollte jedoch nicht sagen, ob betroffene Kunden über die Offenlegung ihrer Daten informiert wurden.
„Wir können bestätigen, dass die gemeldeten Mängel und Schwachstellen nach ihrer Identifizierung im Jahr 2023 gründlich geprüft und umgehend und vollständig behoben wurden“, sagte Sudeep Bhalla, Kommunikationschef von Tata Motors, als er von TechCrunch kontaktiert wurde.
„Unsere Infrastruktur wird regelmäßig von führenden Cybersicherheitsunternehmen geprüft. Wir führen umfassende Zugriffsprotokolle, um unbefugte Aktivitäten zu überwachen. Darüber hinaus arbeiten wir aktiv mit Branchenexperten und Sicherheitsforschern zusammen, um unsere Sicherheitslage zu stärken und potenzielle Risiken rechtzeitig zu minimieren“, sagte Bhalla.
techcrunch
