 |
| Hơn 70 TB dữ liệu của Tata Motors bị lộ do sai sót bảo mật nghiêm trọng. Ảnh minh hoạ. |
Vụ việc được phát hiện từ năm 2023, cho thấy nhiều sai sót trong quản lý an ninh mạng của Tata Motors. Những lỗ hổng này cho phép truy cập trái phép vào dữ liệu khách hàng, hồ sơ tài chính, hệ thống theo dõi đội xe và các bảng điều khiển nội bộ của hãng.
Theo báo cáo, lỗ hổng xuất phát từ các khóa truy cập AWS bị lộ công khai trên E-Dukaan - nền tảng thương mại điện tử của Tata Motors chuyên cung cấp phụ tùng xe. Các khóa này cho phép truy cập tự do vào nhiều kho lưu trữ S3 chứa dữ liệu quan trọng, gồm thông tin khách hàng, báo cáo nghiên cứu thị trường, hàng trăm nghìn hóa đơn có chứa số PAN (mã định danh cá nhân tại Ấn Độ), cùng 40 GB báo cáo nội bộ.
Điều đáng nói, những khóa này chỉ được dùng để tải một tệp nhỏ 4 KB chứa mã thuế, hành động gần như không có giá trị vận hành nhưng lại gây rủi ro bảo mật nghiêm trọng.
Không chỉ dừng ở đó, lỗ hổng còn liên quan đến nền tảng quản lý đội xe FleetEdge. Một bộ khóa AWS khác bị phát hiện ẩn trong phản hồi API của hệ thống, nhưng vì khóa giải mã vẫn có thể bị lấy được, nên biện pháp bảo mật này không có tác dụng thực tế. Bộ khóa này mở ra quyền truy cập tới hơn 70 TB dữ liệu đội xe từ năm 1996 và cho phép chỉnh sửa dữ liệu trên website chính thức của Tata Motors.
Theo nhóm nghiên cứu, dung lượng dữ liệu bị lộ lớn đến mức công cụ phân tích S3 Browser bị treo khi quét hệ thống.
Ngoài ra, trong mã nguồn E-Dukaan, chuyên gia còn phát hiện tài khoản đăng nhập bị “cài cứng” (hardcode) của hệ thống phân tích dữ liệu Tableau. Cơ chế xác thực chỉ yêu cầu tên người dùng và tên trang, không cần mật khẩu. Điều này giúp các nhà nghiên cứu tạo được mã truy cập hợp lệ, qua đó đăng nhập với quyền quản trị, xem được báo cáo nội bộ, dữ liệu tài chính và hệ thống đại lý. Họ thậm chí có thể giành toàn quyền kiểm soát nền tảng phân tích dữ liệu của hãng.
Không dừng lại ở đó, một mã API của nền tảng Azuga - hệ thống theo dõi xe lái thử mà Tata Motors sử dụng - cũng bị tìm thấy trong mã JavaScript công khai. Mã này vẫn hoạt động, cho phép xem dữ liệu vị trí của xe thử nghiệm mà không cần cấp phép.
Hiện tất cả các khóa truy cập và mã API bị lộ đã được thay thế và chưa có bằng chứng cho thấy dữ liệu bị đánh cắp hoặc bị khai thác bởi tin tặc.
Dù vậy, vụ việc cho thấy Tata Motors còn nhiều lỗ hổng nghiêm trọng trong bảo mật hạ tầng, như: Mã hóa khóa truy cập không đúng cách; Sử dụng token xác thực cố định trong mã nguồn; Cấp quyền truy cập AWS quá rộng.
Các chuyên gia khuyến nghị doanh nghiệp nên: Quản lý chặt chẽ thông tin truy cập (secrets management); Chỉ xác thực và lưu thông tin trên máy chủ (server-side); Giới hạn quyền truy cập theo nguyên tắc “ít quyền nhất cần thiết” để giảm nguy cơ tấn công và rò rỉ dữ liệu.
Lệ Thanh (theo Cyber Press)
Bình luận