La celebre marque automobile indienne Tata Motors vient de confirmer avoir corrige une serie de failles de securite graves qui ont divulgue des donnees sensibles de l'entreprise et des clients.
L'incident a ete decouvert par le chercheur en securite Eaton Zveare chez E-Dukaan un portail de commerce electronique specialise dans la fourniture de pieces detachees pour les vehicules utilitaires Tata.
Zveare a declare que le code source web de ce portail contient des mots de passe distincts permettant d'acceder et de modifier les donnees sur Amazon Web Services (AWS) revelant ainsi des centaines de milliers de factures contenant des informations personnelles telles que le nom l'adresse le numero de compte fixe et le code PAN du client.
Il existe egalement des sauvegardes de la base de donnees MySQL des fichiers Apache Parquet ainsi que l'acces a l'API et aux donnees des plateformes de gestion de flotte FleetEdge et Azuga.
Le chercheur a affirme n'avoir commis aucun acte d'exploitation de donnees a grande echelle afin d'eviter de causer des dommages a Tata Motors.
Cependant les droits de gestion permettent d'acceder en profondeur aux etats financiers internes aux notes des agents et a d'autres informations sensibles.
Zveare a signale le probleme a Tata Motors via CERT-In en août 2023.
Tata Motors a confirme que toutes les failles de securite avaient ete traitees mais il n'est pas clair si les informations ont ete communiquees aux clients touches ou non.
Sudeep Bhalla directeur des communications de Tata Motors a souligne : 'Notre infrastructure est regulierement controlee par des societes de cybersecurite reputees. Nous maintenons un registre d'acces et collaborons avec des experts en securite pour minimiser les risques potentiels'.
Cet evenement montre une fois de plus l'importance de la surveillance de la cybersecurite dans l'industrie automobile en particulier lorsque les donnees des clients et des entreprises deviennent des cibles d'attaque de plus en plus frequentes.
Tata Motors s'engage a ameliorer la securite la protection des informations sensibles et a renforcer la confiance des clients dans le monde entier.
