A maior montadora da Índia e um dos principais nomes da indústria automotiva global se viu no centro de um megavazamento de dados que revelou mais de 70 terabytes de informações sensíveis. O incidente, descoberto em 2023, mostrou como falhas aparentemente simples, quando somadas, podem formar uma tempestade perfeita com impacto direto em clientes, sistemas internos e operações de décadas.
O cenário que levou à exposição dos dados é quase didático do que não fazer em cibersegurança corporativa. Chaves de acesso à AWS foram encontradas em código-fonte público, sistemas de autenticação mal implementados davam acesso administrativo sem senha, e uma API de rastreamento veicular operava com credenciais expostas em JavaScript.
Um desastre anunciado dentro da própria casa
Tudo começou com o E-Dukaan, plataforma de e-commerce de peças da Tata Motors. Pesquisadores de segurança encontraram chaves AWS visíveis diretamente no código-fonte do site em texto puro. Essas credenciais permitiam acesso irrestrito a buckets S3, que continham desde backups completos de bancos de dados de clientes até relatórios de inteligência de mercado e milhares de faturas com dados pessoais.
Mais grave ainda: essas chaves estavam sendo usadas apenas para baixar um arquivo de 4 KB contendo códigos fiscais. Um risco desproporcionalmente alto por uma operação que poderia ser realizada com outra abordagem, muito mais segura.
Outra brecha crítica veio do FleetEdge, plataforma de gestão de frotas. Aqui, as chaves também estavam expostas, mas com uma camada de criptografia que, à primeira vista, dava a entender que os desenvolvedores haviam aprendido com os erros anteriores.
A realidade era outra. A criptografia era aplicada apenas no lado do cliente, ou seja, quem tivesse acesso ao código e soubesse o básico conseguiria reverter o processo em segundos. Acesso pleno à estrutura de frotas da Tata desde 1996 com direito até a permissões de escrita em sites da empresa.
Autenticação quebrada e dashboards sem controle
Outro componente comprometido foi o sistema de visualização de dados internos, via Tableau. Credenciais estavam embutidas em comentários no código-fonte, e o mecanismo de autenticação implementado permitia a geração de tokens confiáveis com apenas um nome de usuário e o nome do site.
Não era necessário inserir senha. Isso permitia que qualquer pessoa com acesso ao código assumisse a identidade de qualquer usuário inclusive administradores e acessasse dashboards críticos com informações financeiras e operacionais.
Como se não bastasse, o sistema de gerenciamento de test drives da montadora usava uma chave da API da Azuga exposta diretamente em scripts JavaScript. Essa chave permitia o rastreamento de veículos em tempo real e o monitoramento de testes de direção um nível de acesso que, em mãos erradas, comprometeria privacidade e segurança operacional.
A resposta lenta que agravou a crise
Os problemas foram reportados em agosto de 2023 ao time da CERT-IN, órgão responsável por incidentes de segurança na Índia. A Tata Motors respondeu, reconhecendo o problema e prometendo correções até 1º de setembro. No entanto, uma verificação posterior mostrou que apenas metade das falhas havia sido corrigida. O pior: as chaves AWS ainda estavam ativas.
Só em janeiro de 2024 a empresa revogou completamente as credenciais comprometidas, após meses de trocas com especialistas e solicitações de medidas mais específicas.
O alerta que grandes corporações não podem mais ignorar
O caso da Tata Motors serve como um lembrete amargo de que tamanho e reputação não são sinônimos de maturidade em segurança digital. Chaves hardcoded, criptografia ineficaz e autenticação lógica mal desenhada continuam sendo práticas comuns mesmo em organizações globais com bilhões em receita.
A pergunta que fica para o setor automotivo, e para qualquer empresa que lida com dados sensíveis, é direta: se isso aconteceu com a Tata, o que está guardado ou desprotegido dentro da sua infraestrutura?
