黑客盯上印度汽车巨头：Tata Motors

安全研究人员在印度汽车巨头塔塔汽车发现了多个严重安全漏洞。这些漏洞包括两个公开暴露的 AWS 密钥，导致超过 70TB 的敏感数据泄露；一个可轻易破解的加密密钥；一个允许无密码访问后台的 Tableau 后门，暴露了大量内部项目和财务数据；以及一个泄露的 Azuga API 密钥，影响了其车队管理系统。尽管部分问题已修复，但塔塔汽车在关键凭证的撤销和整体安全响应上表现迟缓，凸显了其信息安全管理存在严重不足。

E-Dukaan 市场的 AWS 密钥泄露

塔塔汽车的 E-Dukaan 网站是客户购买汽车零部件的电商平台。研究人员发现，该网站的源代码中以纯文本形式直接暴露了 AWS 密钥。

永远不要暴露这类密钥，因为任何人都可以利用它们下载你的所有云端文件、上传恶意内容，甚至产生巨额账单。

这些密钥几乎解锁了所有权限，导致大量敏感信息面临风险，其中包括：

• 客户数据库备份。
• 客户名单和市场情报数据。
• 数十万份包含客户信息的 E-Dukaan 发票。
• 约 40GB 的管理员订单报告。

讽刺的是，这个拥有巨大权限的密钥，在网站上的唯一用途仅仅是为了下载一个 4KB 大小的税法文件。

FleetEdge 系统中可被破解的 AWS 密钥

FleetEdge 是塔塔汽车的车队管理和跟踪解决方案。与 E-Dukaan 的直接暴露不同，该系统中的 AWS 密钥看起来经过了加密。然而，研究人员很快就在网站代码中找到了解密方法，并轻松获取了原始密钥。

开发者似乎有一种趋势，喜欢进行这种毫无意义的客户端加密。当客户端本身就持有解密密钥时，很难想象会有人认为这是安全的。

这组密钥同样造成了严重影响，暴露了另一批存储桶。其中一个存储桶的数据量估计超过 70TB，包含可追溯至 1996 年的数据湖文件。此外，攻击者还获得了部分网站的写入权限，可以轻易地在首页植入恶意软件。

Tableau 的后台管理后门

研究人员在 E-Dukaan 网站的源代码中发现了另一个严重问题。一段代码显示，系统通过一个 HTTP 请求来获取“受信任的令牌”，而这个过程只需要用户名，不需要密码。

利用代码注释中留下的一个用户名，研究人员成功获取了令牌并登录了 Tableau 数据可视化后台。更严重的是，这个漏洞允许使用任何有效的用户名登录。通过查找仪表盘所有者的信息，研究人员获得了服务器管理员的用户名，并用同样的方法获取了完全控制权，访问了所有敏感的公司内部数据。

Azuga API 密钥泄露

Azuga 是一个车队管理平台，塔塔汽车用它来管理其试驾车队。研究人员发现，其试驾网站的 Javascript 代码中包含了一个本不应出现在客户端的 Azuga API 令牌。通过简单的 API 测试即可确认该令牌有效，意味着攻击者可以追踪和管理试驾车辆。

漏洞披露时间线

所有四个问题都通过印度计算机应急响应小组（CERT-IN）报告给了塔塔汽车。然而，该公司在处理，特别是撤销 AWS 密钥方面的反应非常缓慢。

• 2023年8月8日： 报告所有问题。
• 2023年9月1日： 塔塔汽车声称问题已修复。
• 2023年9月3日： 研究人员确认，4个问题中只有2个得到修复，AWS 密钥仍然有效且暴露在外。
• 2023年10月22日： 在问题仍未解决后，研究人员提供了更具体的修复步骤。
• 2023年10月23日至2024年1月2日： 经过多次邮件沟通和催促，塔塔汽车才最终完成了 AWS 密钥的撤销工作。

结论：大型车企应有更强的安全意识

这些漏洞的利用方式并不复杂，只需要知道去哪里寻找。密钥泄露时有发生，但其影响通常会因权限受限而减弱。然而在此次事件中，两个拥有极高权限的 AWS 密钥泄露，情况极其令人担忧。

购买汽车时，消费者理应相信汽车制造商会采取合理的措施来保护他们的数据安全。希望塔塔汽车未来能做得更好。