كشف الباحث الأمني إيتون زفير عن ثغرات بالغة الخطورة في أنظمة Tata Motors أدت إلى تسريب هائل تجاوز 70 تيرابايتاً من البيانات الحساسة. تضمنت هذه البيانات معلومات شخصية لعملاء الشركة وتقارير مالية دقيقة وبيانات شاملة لإدارة الأسطول.
وأوضح زفير أن اختبارات اختراق أخلاقية جرت عام 2023 كشفت عن هذه الثغرات، لكن الإفصاح عنها تم حديثاً بعد تأخر طويلاً في عملية المعالجة.
وتبين أن مواقع الشركة كانت تحتوي على مفاتيح وصول AWS مضمنة في التعليمات البرمجية، ما أتاح لأي شخص الدخول إلى مئات مخازن البيانات السحابية غير المحمية. شملت الملفات المكشوفة نسخاً احتياطية لقواعد بيانات العملاء، وقوائم تحتوي على تحليلات السوق، إلى جانب مئات الآلاف من الفواتير التي تضمنت أسماء وعناوين وأرقام PAN (رقم الهوية الضريبية) الخاصة بالعملاء في الهند.
تحتوي هذه البيانات أيضاً على مخزن واحد يضم أكثر من 40 غيغابايت من تقارير الطلبات الإدارية، ما يعكس حجم التسريب وخطورته. وأشار زفير إلى أن المفاتيح كانت تستخدم فقط لجلب ملف صغير لا يتجاوز 4 كيلوبايتات يخص رموز الضرائب، وهو ما لا يبرر إطلاقاً هذا المستوى من الوصول المفتوح.
أنظمة FleetEdge وE-Dukaan كشفت مفاتيح التشفير ومكنت من الدخول إلى لوحات داخلية حساسة
في منصة FleetEdge الخاصة بتتبع أساطيل المركبات، عثر الباحثون على مفاتيح AWS مشفرة في واجهات البرمجة، لكنها كانت قابلة للفك بسهولة عبر الشيفرات الجانبية في المتصفح. هذا الخلل أتاح الوصول إلى قواعد بيانات ضخمة تحتوي على أكثر من 70 تيرابايت من بيانات المركبات منذ عام 1996، بما في ذلك سجلات التشغيل والتحليلات الزمنية.
وحذر الباحث من أن هذه المفاتيح تمكن المهاجمين المحتملين من تحميل برمجيات خبيثة على خوادم الشركة أو مواقعها المتصلة، مما يشكل تهديداً مباشراً لاستقرار العمليات الرقمية وسلامة البيانات.
كما تضمن الكود المصدري لمنصة E-Dukaan آلية دخول مخفية إلى لوحات Tableau الداخلية تتيح الولوج من دون كلمة مرور باستخدام رمز مصادقة موثوق، وهو ما منح صلاحيات واسعة للوصول إلى المشاريع الداخلية والتقارير المالية وبيانات أكثر من 8 آلاف مستخدم.
إضافة إلى ذلك، كشف التحقيق عن مفتاح واجهة Azuga في موقع تجارب القيادة، ما سمح بالوصول إلى بيانات إدارة المركبات المستخدمة في العروض التجريبية، وربما تتبع مواقعها بشكل مباشر. وأكد زفير أنه أوقف الاختبار قبل أي استخراج للبيانات، نافياً حدوث أي نشاط خبيث خلال الفحص.
تأخر في الاستجابة وإخفاق في الشفافية رغم خطورة الثغرات
أبلغ الباحث المركز الهندي للاستجابة للطوارئ السيبرانية (CERT-In) عن الثغرات في 8 أغسطس 2023، إلا أن عملية المعالجة استمرت حتى يناير 2024 بعد عدة متابعات متكررة.
وأكدت Tata Motors لاحقاً أنها أصلحت الثغرات خلال 2023، لكنها لم تخطر العملاء أو الشركاء المتأثرين، ما أثار انتقادات واسعة بشأن مستوى الشفافية في التعامل مع الحوادث الأمنية.
باعتبارها أكبر شركة سيارات في الهند وتعمل في أكثر من 125 دولة، تواجه Tata Motors تحدياً في استعادة ثقة المستخدمين، خصوصاً بعد أن كشفت الحادثة عن ضعف في إدارة المفاتيح السرية ضمن تطبيقاتها الرقمية.
ويرى الخبراء أن الحادثة تمثل إنذاراً واضحاً بضرورة تعزيز مراجعات الشيفرات البرمجية وتطبيق سياسات صارمة لتدوير المفاتيح ومنع تكرار مثل هذه التسريبات مستقبلاً.
