Otomotiv devleri dahi siber güvenlik risklerinden muaf değil. Hindistan merkezli global otomotiv devi Tata Motors, geçtiğimiz yıl ciddi bir siber güvenlik kriziyle karşı karşıya kaldı. Şirket, hem müşterilerinin hassas kişisel bilgilerini hem de kapsamlı kurumsal raporlarını ifşa eden bir dizi kritik güvenlik açığını tespit ederek onardı. Bu olay, devasa şirketlerin dahi temel güvenlik protokollerini ne kadar dikkatli uygulaması gerektiğini bir kez daha gözler önüne seriyor.
Güvenlik Açığı Nasıl Ortaya Çıktı?
Güvenlik araştırmacısı Eaton Zveare, açıkları Tata Motors'un ticari araçlar için yedek parça satışı yaptığı e-ticaret portalı olan E-Dukaan biriminde keşfetti. Zveare'nin blog yazısında belirttiğine göre, portalın web kaynak kodunda kritik bir hata mevcuttu: Amazon Web Services (AWS) hesabına erişim sağlamak ve verileri değiştirmek için kullanılan özel anahtarlar (Private Keys) açıkça görünüyordu.
Bu tür özel anahtarların kaynak kodunda açık bırakılması, en temel güvenlik hatalarından biri olarak kabul edilir ve yetkisiz kişilere şirketin bulut altyapısına tam erişim imkanı tanır.
Araştırmacı, sistemin hassasiyeti nedeniyle büyük miktarda veri indirme teşebbüsünde bulunmadığını, yalnızca açığın varlığını kanıtlayacak kadar bilgi topladığını belirtti. Bu, etik hackerlık prensiplerine uygun bir davranış olarak dikkat çekiyor.
Hassas Müşteri Bilgileri ve Kurumsal Veriler
Bu AWS anahtarları sayesinde erişilebilen verilerin kapsamı oldukça genişti. Araştırmacı Zveare, yüz binlerce faturanın, müşteri adı, posta adresi ve Hindistan hükümeti tarafından verilen on karakterli benzersiz bir tanımlayıcı olan PAN numarası (Kalıcı Hesap Numarası) gibi son derece hassas kişisel bilgileri içerdiğini bildirdi.
Açığa çıkan veriler sadece müşteri bilgilerini içermekle kalmadı, aynı zamanda şirketin iç işleyişine ait kritik detayları da kapsıyordu:
- 70 Terabayt Veri Erişimi: Tata Motors'un filo takip yazılımı olan FleetEdge ile ilgili 70 terabaytın üzerinde veriye erişim imkanı sağlandı.
- Kurumsal Raporlar: Dahili finansal raporlar, performans değerlendirme raporları, bayi (dealer) puan kartları ve çeşitli yönetim panelleri (dashboard) ifşa oldu.
- Veritabanı Yedekleri: MySQL veritabanı yedekleri ve özel müşteri iletişimlerini içeren Apache Parquet dosyaları.
- Yönetici Erişimi: 8.000'den fazla kullanıcının verilerini barındıran bir Tableau hesabına arka kapı yönetici erişimi bulundu.
Değer Kat: Müşteri Güvenliği mi, Kurumsal İtibar mı?
Veri ihlallerinde en kritik adımlardan biri, etkilenen müşterilerin derhal bilgilendirilmesidir. Tata Motors, açıkları 2023 yılında hızla düzelttiğini teyit etse de, güvenlik birimlerine bu bilgilerin ifşa olup olmadığı veya etkilenen müşterilerin bilgilendirilip bilgilendirilmediği konusunda net bir cevap vermedi.
Şeytanın Avukatı: Şirketler genellikle itibar kaygısı ve yasal yükümlülükler nedeniyle veri ihlallerini kamuoyuna duyurmaktan çekinebilirler. Ancak PAN gibi kimlik numaralarının ifşa olması, kimlik hırsızlığı riskini beraberinde getirir. Şirketin "hızlı aksiyon aldık" açıklaması değerli olsa da, şeffaflık ilkesi gereği müşteri bildiriminin yapılıp yapılmadığı sorusu yanıtsız kalmamalıydı. Bu tür bir sessizlik, uzun vadede müşteri güvenini zedeleyebilir.
Tata Motors'un Onarım Süreci ve Açıklaması
Araştırmacı Zveare, açıkları tespit ettikten kısa bir süre sonra, Ağustos 2023'te Hindistan Bilgisayar Acil Durum Müdahale Ekibi (CERT-In) aracılığıyla Tata Motors'a bildirimde bulundu. Şirket, Ekim 2023 itibarıyla AWS sorunlarını gidermek için çalıştığını ve tüm rapor edilen güvenlik açıklarının 2023 yılı içinde tamamen ve hızlı bir şekilde ele alındığını doğruladı.
Tata Motors İletişim Başkanı Sudeep Bhalla, yaptığı açıklamada altyapılarının önde gelen siber güvenlik firmaları tarafından düzenli olarak denetlendiğini ve potansiyel riskleri zamanında azaltmak için sektör uzmanlarıyla aktif olarak işbirliği yaptıklarını belirtti.
“Rapor edilen kusurların ve güvenlik açıklarının 2023’te tespit edilmesinin ardından kapsamlı bir şekilde incelendiğini ve derhal tamamen giderildiğini teyit edebiliriz.” - Sudeep Bhalla, Tata Motors.
Bu tip yüksek profilli olaylar, siber güvenlik zafiyetlerinin sadece münferit şirketlerle sınırlı olmadığını, kritik altyapıları ve ulusal telekomünikasyon ağlarını da etkileyebilen sistemik sorunlar olduğunu gösteriyor. Örneğin, Güney Kore'de son altı ay içinde LG Uplus, SK Telecom ve KT Telecom gibi ülkenin önde gelen telekomünikasyon devlerinin hedef alınması, koordineli saldırıların ve yapısal güvenlik açıklarının ne kadar büyük bir tehdit oluşturduğunu kanıtladı. Ülke genelinde yaşanan bu ciddi krize dair detaylı analizler için LG Uplus veri ihlali ve Güney Kore telekom siber güvenlik krizi başlıklı içeriğimizi inceleyebilirsiniz.
Sürekli Bir Mücadele: Siber Güvenlikte Proaktif Yaklaşım
Bu olay, şirketlerin bulut hizmetlerini kullanırken erişim anahtarlarını ve API bilgilerini kaynak kodlarında açık bırakmamaları gerektiği yönündeki temel siber hijyen kuralının önemini vurguluyor. Aynı zamanda, etik hackerların ve güvenlik araştırmacılarının raporlamalarının, büyük veri ihlallerini önlemede ne kadar hayati bir rol oynadığını gösteriyor.
Kaynak: Bu haber, Tata Motors’un müşteri verilerini tehlikeye atan güvenlik açıklarını düzeltme sürecine dair detayları içeren TechCrunch haberinden derlenmiştir. Bu tür güvenlik araştırmaları, siber dünyanın şeffaflığı açısından kritik öneme sahiptir.
