जमशेदपुर : देश की सबसे बड़ी वाहन निर्माता कंपनी टाटा मोटर्स के डिजिटल सुरक्षा तंत्र में एक बड़ी सेंधमारी का मामला सामने आया है, जिसमें 70 टेराबाइट (टीबी) से अधिक संवेदनशील डेटा उजागर हो गया। यह घटना कंपनी के कई डिजिटल प्लेटफॉर्मों पर सुरक्षा में एक नहीं, बल्कि कई गंभीर खामियों का परिणाम थी।
इस लीक में लाखों ग्राहकों की व्यक्तिगत जानकारी, कंपनी के आंतरिक वित्तीय रिकार्ड और डीलरों से संबंधित महत्वपूर्ण डेटा शामिल हैं।
हालांकि, टाटा मोटर्स ने स्वीकार किया है कि ये कमजोरियां मौजूद थीं, लेकिन साथ ही यह भी स्पष्ट किया है कि 2023 के अंत तक इन सभी को पूरी तरह से ठीक कर दिया गया है। यह खुलासा सुरक्षा शोधकर्ता ईटन ज्वेरे ने किया, जिन्होंने 2023 में इन कमजोरियों का पता लगाकर कंपनी को सूचित किया था।
इस व्यापक डेटा लीक का मूल कारण बेहद साधारण लेकिन खतरनाक गलतियां थीं, जिन्हें तकनीकी भाषा में खराब कुंजी प्रबंधन (की मैनेजमेंट) कहा जाता है। सबसे बड़ी गलती कंपनी के स्पेयर पार्ट्स बेचने वाले ई-कॉमर्स प्लेटफार्म ”ई-दुकान” पर हुई।
यहां वेबसाइट के पब्लिक सोर्स कोड में अमेजन वेब सर्विसेज की एक्सेस-की (सर्वर की एक तरह की डिजिटल चाबी) सादे टेक्स्ट में मौजूद थी। यह ऐसा था मानो किसी ने अपने डिजिटल खजाने की चाबी मुख्य दरवाजे पर ही लटका दी हो, जिसे कोई भी उठाकर इस्तेमाल कर सकता था।
इस एक गलती से ग्राहकों के लाखों चालान, जिनमें उनके नाम, पते और पैन नंबर जैसी निजी जानकारियां थीं, उजागर हो गए। इस चाबी का इस्तेमाल सिर्फ एक छोटी सी 4-किलोबाइट की फाइल डाउनलोड करने के लिए हो रहा था, जिसके लिए इतना बड़ा जोखिम लिया गया।
सुरक्षा शोधकर्ता ईटन ज्वेरे के अनुसार, कंपनी के फ्लीट मैनेजमेंट प्लेटफार्म ”फ्लीटएज” में भी ऐसी ही खामी मिली। यहां भी सर्वर की चाबियां थीं, जो पहली नजर में एन्क्रिप्टेड (सुरक्षित कोड में बदली हुई) लग रही थीं, लेकिन यह सुरक्षा सिर्फ एक छलावा थी, क्योंकि इसे कोई भी सामान्य तकनीकी जानकारी रखने वाला व्यक्ति कुछ ही सेकंड में डिक्रिप्ट कर सकता था।
इस लापरवाही से 1996 तक का लगभग 70 टीबी का ऐतिहासिक फ्लीट इंटेलिजेंस डेटा उजागर हो गया, जिसमें वाहनों की लाइव ट्रैकिंग जानकारी भी शामिल थी।
ई-दुकान के कोड में एक और बड़ी खामी मिली, जिसने डेटा एनालिटिक्स टूल ”टेबलो” के लिए एक तरह का पिछला दरवाजा खोल दिया। इससे बिना पासवर्ड के सिर्फ यूजरनेम का उपयोग करके सर्वर एडमिन के रूप में लॉग इन किया जा सकता था, जिससे कंपनी की सभी गोपनीय वित्तीय रिपोर्ट, डीलर स्कोरकार्ड और आठ हजार से अधिक आंतरिक उपयोगकर्ताओं का डेटा खतरे में पड़ गया था।
सुरक्षा शोधकर्ता ईटन ज्वेरे ने अगस्त 2023 में भारतीय कंप्यूटर आपातकालीन प्रतिक्रिया टीम (सर्ट-इन) के माध्यम से टाटा मोटर्स को इन कमजोरियों की सूचना दी थी। टाटा मोटर्स के कम्युनिकेशंस प्रमुख सुदीप भल्ला ने पुष्टि की कि कंपनी ने तुरंत कार्रवाई की और इन खामियों को दूर किया।
उन्होंने कहा, हम पुष्टि कर सकते हैं कि 2023 में पहचान के बाद रिपोर्ट की गई खामियों और कमजोरियों की पूरी तरह से समीक्षा की गई और उन्हें तुरंत ठीक किया गया। उन्होंने यह भी बताया कि कंपनी अब अपने सिस्टम की संदिग्ध गतिविधियों के लिए लगातार निगरानी करती है और नियमित रूप से थर्ड-पार्टी सुरक्षा आडिट भी कराती है।
