インドの有名な自動車会社タタ・モーターズは、同社とその顧客の機密データを漏洩させた一連の深刻なセキュリティ脆弱性を修正したことを発表した。
この問題は、タタ商用車のスペアパーツの提供を専門とする電子商取引ポータル E-Dukaan のセキュリティ研究者 Eaton Zveare 氏によって発見されました。
ズベア氏は、ポータルのウェブソースコードにはアマゾン ウェブ サービス(AWS)上のデータへのアクセスと編集を可能にする秘密鍵が含まれており、それによって顧客の名前、住所、固定口座番号、PANコードなどの個人情報が記載された数十万件の請求書が流出したと述べた。
さらに、MySQL データベースのバックアップ、Apache Parquet ファイル、FleetEdge および Azuga フリート管理プラットフォームへの API とデータ アクセスもあります。
研究者は、タタ・モーターズへの損害を避けるために大規模なデータマイニングを実行していないと認めた。
ただし、管理者権限を使用すると、内部財務報告書、政府機関のスコアカード、その他の機密情報に深くアクセスできます。
Zveare は 2023 年 8 月に CERT-In 経由でこの問題を Tata Motors に報告しました。
タタ・モーターズは、すべてのセキュリティー・エラーが解決されたことを確認したが、影響を受けた顧客に情報が伝達されたかどうかは不明である。
タタ・モーターズの最高コミュニケーション責任者であるスディープ・バーラ氏は、「当社のインフラは評判の高いサイバーセキュリティ企業によって定期的に監査されている。当社はアクセスログを管理し、セキュリティ専門家と協力して潜在的なリスクを軽減している」と強調した。
この事件は、自動車業界におけるサイバーセキュリティ監視の重要性を改めて示しており、特に顧客データやビジネスデータが攻撃対象となることがますます増えている状況においては重要である。
タタ・モーターズは、世界中でセキュリティを強化し、機密情報を保護し、顧客の信頼を強化することに取り組んでいます。
