Le géant automobile indien Tata Motors a corrigé une série de failles de sécurité qui exposaient des données internes sensibles, notamment des informations personnelles sur les clients, des rapports de l’entreprise et des données relatives à ses concessionnaires.
Le chercheur en sécurité Eaton Zveare a déclaré à TechCrunch qu’il avait découvert les failles de l’unité E-Dukaan de Tata Motors, un portail de commerce électronique permettant d’acheter des pièces de rechange pour les véhicules utilitaires fabriqués par Tata. Basée à Mumbai, Tata Motors produit des voitures particulières, ainsi que des véhicules commerciaux et militaires. La société est présente dans 125 pays à travers le monde et sept installations d’assemblage, selon son site Web.
Zveare a déclaré avoir découvert que le code source Web du portail incluait les clés privées permettant d’accéder et de modifier les données du compte de Tata Motors sur Amazon Web Services, a déclaré le chercheur dans un article de blog.
Les données exposées, a déclaré Zveare à TechCrunch, comprenaient des centaines de milliers de factures contenant des informations sur les clients, telles que leurs noms, adresses postales et numéro de compte permanent, ou PAN, un identifiant unique à dix caractères émis par le gouvernement indien.
« Par respect pour ne pas avoir déclenché une sorte de sonnette d’alarme ou de facture de sortie massive chez Tata Motors, il n’y a eu aucune tentative d’exfiltrer de grandes quantités de données ou de télécharger des fichiers excessivement volumineux », a déclaré le chercheur à TechCrunch.
Il existait également des sauvegardes de bases de données MySQL et des fichiers Apache Parquet contenant diverses informations et communications privées sur les clients, a noté le chercheur.
Les clés AWS ont également permis d’accéder à plus de 70 téraoctets de données liées au logiciel de suivi de flotte FleetEdge de Tata Motors. Zveare a également trouvé un accès administrateur par porte dérobée à un compte Tableau, qui comprenait les données de plus de 8 000 utilisateurs.
Événement Techcrunch
San Francisco
|
27-29 octobre 2025
« En tant qu’administrateur du serveur, vous aviez accès à tout cela. Cela inclut principalement des éléments tels que les rapports financiers internes, les rapports de performance, les cartes de pointage des concessionnaires et divers tableaux de bord », a déclaré le chercheur.
Les données exposées comprenaient également un accès API à la plateforme de gestion de flotte de Tata Motors, Azuga, qui alimente le site Web d’essais routiers de l’entreprise.
Peu de temps après avoir découvert les problèmes, Zveare les a signalés à Tata Motors par l’intermédiaire de l’équipe indienne d’intervention d’urgence informatique, connue sous le nom de CERT-In, en août 2023. Plus tard en octobre 2023, Tata Motors a déclaré à Zveare qu’elle travaillait à la résolution des problèmes AWS après avoir corrigé les failles initiales. Cependant, l’entreprise n’a pas précisé quand les problèmes auraient été résolus.
Tata Motors a confirmé à TechCrunch que toutes les failles signalées avaient été corrigées en 2023, mais n’a pas précisé si elle avait informé les clients concernés que leurs informations avaient été exposées.
« Nous pouvons confirmer que les failles et vulnérabilités signalées ont été soigneusement examinées après leur identification en 2023 et ont été rapidement et entièrement corrigées », a déclaré Sudeep Bhalla, responsable des communications de Tata Motors, contacté par TechCrunch.
« Notre infrastructure est régulièrement auditée par des sociétés de cybersécurité de premier plan et nous tenons des journaux d’accès complets pour surveiller les activités non autorisées. Nous collaborons également activement avec des experts du secteur et des chercheurs en sécurité pour renforcer notre posture de sécurité et garantir une atténuation rapide des risques potentiels », a déclaré Bhalla.

