29. Oktober 2025
Tata Motors hat 2023 mehrere Sicherheitslücken auf seinen öffentlich zugänglichen Plattformen E-Dukaan und FleetEdge geschlossen. Entdeckt wurden die Schwachstellen von einem Cybersicherheitsforscher, der später Details dazu veröffentlichte. Laut dem Forscher ermöglichte eine der Lücken den Zugriff auf Amazon Web Service (AWS)-Schlüssel, wodurch potenziell Unternehmensdaten heruntergeladen oder unbefugte Dateien auf Amazon-Server hochgeladen werden konnten.
In einem Blogbeitrag berichtete der Sicherheitsforscher Eaton Zveare, dass er 2023 Schwachstellen auf E-Dukaan, dem E-Marktplatz für Ersatzteile von Tata Motors, gefunden habe. Auch FleetEdge, die Flottenmanagement- und Tracking-Plattform des Unternehmens, wies Sicherheitsmängel auf. Zveare veröffentlichte Details zu vier zentralen Schwachstellen auf diesen Plattformen.
Tata Motors teilte TechCrunch mit, dass die gemeldeten Lücken im selben Jahr erkannt und „vollständig behoben“ worden seien. Laut Zveare wurden die AWS-Schlüssel in Klartext offengelegt, was Missbrauch ermöglicht hätte: Hacker hätten auf Dateien zugreifen, „bösartige Inhalte hochladen“ und hohe Serverkosten verursachen können. Die betroffenen Websites hosten demnach mehr als 70 Terabyte an Daten mit sensiblen Kundeninformationen.
Zveare entdeckte zudem eine Schwachstelle im Datenanalyse-Tool Tableau, die ihm Backdoor-Zugriff auf interne Server erlaubte. So konnte er sich ohne Passwort als Administrator anmelden und Einsicht in Projekte, Finanzberichte und Händler-Dashboards gewinnen.
Tata Motors betonte, dass seine Cybersicherheitsinfrastruktur regelmäßig von führenden Firmen überprüft werde und Zugriffsprotokolle führen, um unbefugte Aktivitäten zu erkennen. Das Unternehmen arbeitet aktiv mit Sicherheitsforschern zusammen, um seine Online-Systeme abzusichern und Cyberangriffe zeitnah abzuwehren.
Der indische Automobilhersteller ist in 125 Ländern vertreten. Ursprünglich auf Nutzfahrzeuge spezialisiert, ist das Unternehmen inzwischen auch auf Pkw und vierrädrige Elektrofahrzeuge aktiv. Viele Spitzenmodelle verfügen über Connected-Car-Funktionen, die Standortdaten, Geschwindigkeit und persönliche Informationen des Besitzers an dessen Smartphone übertragen – meist über Unternehmensserver. Dies unterstreicht die Bedeutung, Sicherheitslücken frühzeitig zu identifizieren und zu schließen.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Industrielles Phishing gegen Italiens Infrastruktur: Group‑IB entdeckt automatisiertes Aruba‑Imitierendes Phishing‑Kit
Stärkung von Red Teams: Ein modulares Gerüst für Kontrollbewertungen
SAP Patch Day November 2025: Kritische Lücken in SQL Anywhere Monitor und SAP Solution Manager geschlossen
Nordkoreanische APT-Gruppe missbraucht Google Find Hub für Fernlösch-Angriffe auf Android-Geräte
DNS-Ausfallsicherheit entscheidet über die Unternehmenskontinuität
Studien
BSI-Lagebericht 2025: Fortschritte in der Cybersicherheit – Deutschland bleibt verwundbar
Forrester veröffentlicht Technologie- und Sicherheitsprognosen für 2026
Zunahme KI-gestützter Cyberbedrohungen im Fertigungssektor
KnowBe4-Studie: Personalisierte Phishing-E-Mails setzen auf die Verwendung von Firmennamen
Neue Studie: Mehrheit der US-Großunternehmen meldet KI-Risiken
Whitepaper
Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“
Aktuelle Studie zeigt: Jeder Vierte in Deutschland bereits Opfer von digitalem Betrug
Cybersecurity in Deutschland: 200 Milliarden Euro Schaden trotz steigender IT-Ausgaben
Die EU bleibt weiterhin Ziel zahlreicher, sich überschneidender Bedrohungsgruppen
Verizon Business DBIR 2025: So können Gesundheitseinrichtungen Cyberangriffen begegnen
Hamsterrad-Rebell
Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme
Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt
IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern
Von Palo Alto nach Paderborn: Wie eine Initiative US-Cyberfachkräfte für Deutschland gewinnen will
