Năm 2023, Tata Motors, nhà sản xuất ô tô hàng đầu Ấn Độ và một tên tuổi lớn trong ngành công nghiệp ô tô toàn cầu, đã phải đối mặt với sự cố rò rỉ dữ liệu nghiêm trọng, để lộ hơn 70 terabyte thông tin nhạy cảm thông qua nhiều lỗi bảo mật tích tụ.

Phân Tích Sự Cố Rò Rỉ Dữ Liệu Lớn tại Tata Motors

Các vi phạm, được phát hiện vào năm 2023, bao gồm việc lộ thông tin xác thực AWS trên các trang web công khai, khóa mã hóa dễ dàng giải mã, một backdoor Tableau không yêu cầu xác thực và một khóa API không được bảo vệ từ các hệ thống quản lý đội xe. Mỗi lỗ hổng độc lập đã gây ra rủi ro nghiêm trọng, nhưng khi kết hợp lại, chúng tạo thành một “cơn bão hoàn hảo” có thể cho phép kẻ tấn công truy cập cơ sở dữ liệu khách hàng, hồ sơ tài chính, dữ liệu hóa đơn, thông tin đội xe kéo dài hàng thập kỷ và các hệ thống quản trị quan trọng.

Lỗ Hổng AWS Credentials trên Nền Tảng E-Dukaan

Lỗ hổng nghiêm trọng đầu tiên xuất phát từ E-Dukaan, nền tảng thương mại điện tử phụ tùng của Tata Motors. Các nhà nghiên cứu bảo mật đã phát hiện khóa truy cập AWS dưới dạng văn bản thuần túy được mã hóa cứng trực tiếp trong mã nguồn của trang web.

Những thông tin xác thực này cấp quyền truy cập không hạn chế vào các bucket Amazon S3 chứa một bộ sưu tập đáng báo động các dữ liệu nhạy cảm, bao gồm:

• Bản sao lưu cơ sở dữ liệu khách hàng đầy đủ.
• Báo cáo tình báo thị trường.
• Hàng trăm nghìn hóa đơn có số nhận dạng cá nhân.
• Khoảng 40 gigabyte báo cáo đặt hàng hành chính.

Việc lộ thông tin đặc biệt đáng lo ngại vì các khóa này đang được sử dụng để tải xuống một tệp duy nhất có kích thước 4 kilobyte chứa mã thuế, cho thấy một rủi ro bảo mật khổng lồ chỉ vì một lợi ích vận hành cực kỳ nhỏ.

Mã Hóa Client-Side Sai Lầm trên FleetEdge

Nền tảng quản lý đội xe FleetEdge chứa một bộ thông tin xác thực AWS thứ hai ban đầu có vẻ như đã được mã hóa, điều này có thể gợi ý rằng các nhà phát triển đã rút kinh nghiệm từ những sai lầm trên E-Dukaan. Tuy nhiên, mã hóa này chỉ thực hiện ở phía client, có nghĩa là bất kỳ ai có kiến thức kỹ thuật cơ bản đều có thể trích xuất và giải mã các khóa trong vòng vài giây.

Điều này thể hiện một quan niệm sai lầm nguy hiểm rằng mã hóa client-side cung cấp bảo mật có ý nghĩa khi cả dữ liệu được mã hóa và khóa giải mã đều tồn tại trên cùng một hệ thống. Các thông tin xác thực bị lộ đã cung cấp quyền truy cập vào khoảng 70 terabyte dữ liệu được lưu trữ trong một bucket duy nhất, bao gồm dữ liệu tình báo lịch sử về đội xe từ năm 1996.

Việc lộ thông tin cũng cấp quyền ghi vào nhiều trang web, tạo cơ hội cho kẻ tấn công chèn mã độc. Về vấn đề mã hóa phía client, thông tin thêm có thể tìm thấy tại GBHackers.

Lỗ Hổng Xác Thực Tableau: Quyền Kiểm Soát Hệ Thống

Nền tảng E-Dukaan cũng chứa thông tin xác thực Tableau được mã hóa cứng trong các bình luận mã nguồn. Quan trọng hơn, các nhà phát triển đã triển khai một hệ thống xác thực lỗi thời.

Mã dễ bị tổn thương cho phép người dùng lấy “token đáng tin cậy” chỉ bằng cách sử dụng tên người dùng và tên trang web, bỏ qua hoàn toàn yêu cầu mật khẩu. Các nhà nghiên cứu bảo mật đã chứng minh rằng họ có thể mạo danh bất kỳ người dùng nào trên hệ thống, bao gồm cả quản trị viên máy chủ, giành quyền kiểm soát hoàn toàn các bảng điều khiển Tableau chứa vô số dự án nội bộ, báo cáo tài chính và thông tin cụ thể của đại lý.

Việc bỏ qua xác thực này có nghĩa là bất kỳ cá nhân nào có quyền truy cập vào mã nguồn trang web—không nhất thiết là người dùng được ủy quyền—đều có thể trở thành quản trị viên. Chi tiết về các lỗ hổng Tableau nghiêm trọng có thể được tham khảo tại bài viết về Tableau server flaws.

Lộ Azuga API Key trong Hệ thống Quản lý Lái Thử

Hệ thống quản lý lái thử phụ thuộc vào một khóa API Azuga được mã hóa cứng trong mã nguồn JavaScript. Thông tin xác thực bị lộ này cung cấp quyền truy cập trực tiếp vào nền tảng quản lý đội xe, có khả năng cho phép các cá nhân không được ủy quyền theo dõi vị trí phương tiện và giám sát các hoạt động lái thử trong thời gian thực.

Lỗ hổng này làm nổi bật một mô hình phổ biến hơn về việc các nhà phát triển coi mã phía client là một vị trí an toàn để lưu trữ thông tin xác thực nhạy cảm. Đây là một mối đe dọa mạng cần được đánh giá lại trong quy trình phát triển.

Phản Ứng và Thời Gian Khắc Phục Sự Cố

Các vấn đề bảo mật đã được báo cáo cho Tata Motors thông qua Đội Ứng cứu Khẩn cấp Máy tính Ấn Độ (CERT-IN) vào ngày 8 tháng 8 năm 2023. Tuy nhiên, quá trình khắc phục lại diễn ra chậm chạp và gây thất vọng.

Mặc dù Tata Motors đã xác nhận việc tiếp nhận và tuyên bố khắc phục vào ngày 1 tháng 9, nhưng việc xác minh sau đó cho thấy chỉ 2 trong số 4 vấn đề đã được giải quyết và các khóa AWS vẫn hoạt động trên cả hai trang web.

Phải đến tháng 1 năm 2024, công ty mới thu hồi hoàn toàn các thông tin xác thực bị lộ sau nhiều tháng trao đổi qua lại để làm rõ các bước khắc phục cụ thể. Sự cố này cho thấy việc cập nhật bản vá và khắc phục lỗ hổng cần được ưu tiên hơn.

Bài Học Quan Trọng từ Rò Rỉ Dữ Liệu Tata Motors

Những lỗ hổng này đã chứng minh rằng ngay cả các tập đoàn quốc tế lớn cũng có thể mắc phải những sai lầm bảo mật cơ bản như mã hóa cứng thông tin xác thực, sử dụng mã hóa client-side vô nghĩa và triển khai các hệ thống xác thực với các lỗi logic nghiêm trọng. Việc nhận thức và loại bỏ các lỗ hổng bảo mật như vậy là cực kỳ quan trọng.

Đối với khách hàng mua xe từ Tata Motors, những vụ vi phạm này đã đặt ra những câu hỏi nghiêm túc về tiêu chuẩn bảo vệ dữ liệu tại các tổ chức ô tô lớn. Việc đảm bảo an ninh mạng toàn diện là trách nhiệm cốt lõi của mọi doanh nghiệp trong kỷ nguyên số.