29. Oktober 2025
Tata Motors hat 2023 mehrere Sicherheitslücken auf seinen öffentlich zugänglichen Plattformen E-Dukaan und FleetEdge geschlossen. Entdeckt wurden die Schwachstellen von einem Cybersicherheitsforscher, der später Details dazu veröffentlichte. Laut dem Forscher ermöglichte eine der Lücken den Zugriff auf Amazon Web Service (AWS)-Schlüssel, wodurch potenziell Unternehmensdaten heruntergeladen oder unbefugte Dateien auf Amazon-Server hochgeladen werden konnten.
In einem Blogbeitrag berichtete der Sicherheitsforscher Eaton Zveare, dass er 2023 Schwachstellen auf E-Dukaan, dem E-Marktplatz für Ersatzteile von Tata Motors, gefunden habe. Auch FleetEdge, die Flottenmanagement- und Tracking-Plattform des Unternehmens, wies Sicherheitsmängel auf. Zveare veröffentlichte Details zu vier zentralen Schwachstellen auf diesen Plattformen.
Tata Motors teilte TechCrunch mit, dass die gemeldeten Lücken im selben Jahr erkannt und „vollständig behoben“ worden seien. Laut Zveare wurden die AWS-Schlüssel in Klartext offengelegt, was Missbrauch ermöglicht hätte: Hacker hätten auf Dateien zugreifen, „bösartige Inhalte hochladen“ und hohe Serverkosten verursachen können. Die betroffenen Websites hosten demnach mehr als 70 Terabyte an Daten mit sensiblen Kundeninformationen.
Zveare entdeckte zudem eine Schwachstelle im Datenanalyse-Tool Tableau, die ihm Backdoor-Zugriff auf interne Server erlaubte. So konnte er sich ohne Passwort als Administrator anmelden und Einsicht in Projekte, Finanzberichte und Händler-Dashboards gewinnen.
Tata Motors betonte, dass seine Cybersicherheitsinfrastruktur regelmäßig von führenden Firmen überprüft werde und Zugriffsprotokolle führen, um unbefugte Aktivitäten zu erkennen. Das Unternehmen arbeitet aktiv mit Sicherheitsforschern zusammen, um seine Online-Systeme abzusichern und Cyberangriffe zeitnah abzuwehren.
Der indische Automobilhersteller ist in 125 Ländern vertreten. Ursprünglich auf Nutzfahrzeuge spezialisiert, ist das Unternehmen inzwischen auch auf Pkw und vierrädrige Elektrofahrzeuge aktiv. Viele Spitzenmodelle verfügen über Connected-Car-Funktionen, die Standortdaten, Geschwindigkeit und persönliche Informationen des Besitzers an dessen Smartphone übertragen – meist über Unternehmensserver. Dies unterstreicht die Bedeutung, Sicherheitslücken frühzeitig zu identifizieren und zu schließen.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
CrackArmor: AppArmor-Schwachstellen ermöglichen Root-Zugriff auf über 12 Millionen Linux-Systemen
KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen
MCP-Sicherheitsstudie: 555 Server mit riskanten Tool-Kombinationen identifiziert
SOX-Compliance in SAP: Anforderungen, IT-Kontrollen und der Weg zur Automatisierung
Irans Cyberoperationen vor „Epic Fury“: Gezielter Infrastrukturaufbau und Hacktivisten-Welle nach den Angriffen
Studien
Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich
Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen
Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen
KI als Werkzeug für schnelle, kostengünstige Cyberangriffe
KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen
Whitepaper
Quantifizierung und Sicherheit mit modernster Quantentechnologie
KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler
Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen
EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig
Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien
Hamsterrad-Rebell
Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen
Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2
Incident Response Retainer – worauf sollte man achten?
KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen
