Tata Motors confirma que ha solucionado las vulnerabilidades de seguridad que expusieron datos de la empresa y de los clientes.
El emblema de TATA Motors se ve en el stand de TATA Motors en Kolkata, India, el 7 de marzo de 2025.
El gigante automovilístico indio Tata Motors ha corregido una serie de fallos de seguridad que expusieron datos sensibles internos, incluyendo información personal de clientes, informes de la empresa y datos relacionados con sus distribuidores.
El investigador de seguridad Eaton Zveare le dijo a TechCrunch que descubrió los fallos en la unidad E-Dukaan de Tata Motors, un portal de comercio electrónico para comprar repuestos para vehículos comerciales de Tata. Con sede en Mumbai, Tata Motors produce vehículos de pasajeros, así como vehículos comerciales y de defensa. La empresa tiene una presencia en 125 países en todo el mundo y siete instalaciones de ensamblaje, según su sitio web.
Zveare dijo que encontró que el código fuente web del portal incluía las claves privadas para acceder y modificar datos dentro de la cuenta de Tata Motors en Amazon Web Services, según lo indicado en un post de blog.
Los datos expuestos, según Zveare, incluían cientos de miles de facturas que contenían información de clientes, como sus nombres, direcciones de correo y número de cuenta permanente, o PAN, un identificador único de 10 caracteres emitido por el gobierno indio.
“Por respeto a no causar algún tipo de alarma o factura masiva en Tata Motors, no se intentaron exfiltrar grandes cantidades de datos o descargar archivos excesivamente grandes,” dijo el investigador a TechCrunch.
También se encontraron copias de seguridad de bases de datos MySQL y archivos Apache Parquet que incluían diversos fragmentos de información privada de clientes y comunicaciones, según el investigador.
Las claves de AWS también permitían el acceso a más de 70 terabytes de datos relacionados con el software de seguimiento de flotas FleetEdge de Tata Motors. Zveare también encontró acceso de puerta trasera a una cuenta de Tableau, que incluía datos de más de 8,000 usuarios.
Google Cloud, Netflix, Microsoft, Box, Phia, a16z, ElevenLabs, Wayve, Hugging Face, Elad Gil, Vinod Khosla — algunos de los 250+ pesos pesados que lideran 200+ sesiones diseñadas para proporcionar las perspectivas que impulsan el crecimiento de las startups y afilan tu ventaja. Y no te pierdas los 300+ startups en todos los sectores.
Lleva a un +1 y ahorra 60% en tu pase, o obtén tu pase antes del 27 de octubre para ahorrar hasta $444.
“Como administrador de servidores, tenías acceso a todo. Esto incluye cosas como informes financieros internos, informes de rendimiento, tarjetas de puntuación de distribuidores y diversos tableros,” dijo el investigador.
Los datos expuestos también incluían acceso a API a la plataforma de gestión de flotas de Tata Motors, Azuga, que potencia el sitio web de prueba de conducción de la empresa.
Después de descubrir los problemas, Zveare los reportó a Tata Motors a través del equipo de respuesta a emergencias informáticas de la India, conocido como CERT-In, en agosto de 2023. Más tarde, en octubre de 2023, Tata Motors le dijo a Zveare que estaba trabajando en la corrección de los problemas de AWS después de cerrar los primeros agujeros. Sin embargo, la empresa no dijo cuándo se corrigieron los problemas.
Tata Motors confirmó a TechCrunch que todos los fallos reportados fueron corregidos en 2023, pero no dijo si notificó a los clientes afectados que su información había sido expuesta.
“Podemos confirmar que los fallos y vulnerabilidades reportados fueron revisados exhaustivamente después de su identificación en 2023 y se abordaron por completo,” dijo el jefe de comunicaciones de Tata Motors, Sudeep Bhalla, al ser contactado por TechCrunch.
“Nuestra infraestructura es auditada regularmente por destacadas empresas de ciberseguridad y mantenemos registros de acceso completos para monitorear actividades no autorizadas. También colaboramos activamente con expertos de la industria y investigadores de seguridad para fortalecer nuestra postura de seguridad y asegurarnos de mitigar los riesgos de manera oportuna,” dijo Bhalla.