أكدت شركة تاتا موتورز، أكبر شركة سيارات في الهند، أنها أصلحت ثغرات أمنية خطيرة كانت قد أدت إلى تسريب بيانات حساسة تخص عملاءها ووكلاءها وتقاريرها الداخلية، بعد أن تم اكتشافها من قبل باحث أمني مستقل.
وأوضح الباحث الأمني إيتون زفيير أنه اكتشف الثغرات داخل بوابة E-Dukaan التابعة لشركة تاتا موتورز، وهي منصة إلكترونية لبيع قطع غيار المركبات التجارية التي تنتجها الشركة.
وأضاف أن الشفرة البرمجية للموقع كانت تحتوي على مفاتيح سرية تتيح الوصول إلى حسابات الشركة على خدمات "أمازون ويب سيرفيسز"، ما جعل كمّاً هائلاً من البيانات الحساسة مكشوفاً للعامة، بحسب تقرير نشره موقع "تك كرانش" واطلعت عليه "العربية Business".
شملت البيانات المكشوفة مئات الآلاف من الفواتير التي تحتوي على أسماء العملاء وعناوينهم وأرقام تعريفهم الضريبية، إلى جانب نسخ احتياطية من قواعد بيانات MySQL وملفات تحتوي على مراسلات ومعلومات داخلية للشركة.
كما تم العثور على إمكانية الوصول إلى بيانات FleetEdge، وهو نظام تتبع المركبات التابع لـ "تاتا موتورز"، والذي تبيّن أنه يحتوي على أكثر من 70 تيرابايت من البيانات.
وأشار زفيير إلى أنه وجد أيضاً صلاحيات إدارية خلفية (Backdoor Access) على حساب Tableau الخاص بالشركة، مما أتاح الاطلاع على بيانات أكثر من 8 آلاف مستخدم، بما في ذلك تقارير مالية وأداء الموزعين ولوحات تحكم داخلية.
أبلغ الباحث الشركة عن الثغرات في أغسطس 2023 عبر فريق الاستجابة للطوارئ الحاسوبية الهندي (CERT-In)، لتقوم الشركة في أكتوبر من العام ذاته بالعمل على إغلاق الثغرات وتأمين خوادمها.
أكد المتحدث باسم الشركة سوديب بالا أن جميع الثغرات التي أُبلغ عنها تم إصلاحها بالكامل عام 2023، مضيفاً أن بنية الشركة التحتية تخضع لمراجعات دورية من قبل شركات أمنية متخصصة، وأنها "تحتفظ بسجلات دقيقة لمراقبة أي نشاط غير مصرح به، وتعمل باستمرار مع خبراء الأمن لتقوية أنظمتها الرقمية.
ورغم إعلان الشركة عن معالجة الثغرات، إلا أنها لم توضح ما إذا كانت قد أبلغت العملاء المتضررين من تسرب بياناتهم الشخصية، وهو ما أثار تساؤلات حول شفافية شركات التقنية في التعامل مع حوادث الاختراق المتكررة.
