塔塔汽车修复重大安全隐患：E-Dukaan 暴露密钥致海量客户与业务数据可被读取

 近日，塔塔汽车确认其售后电商门户 E-Dukaan 早前存在多项安全缺陷，现已在2023年完成修复。问题源自网页源码中意外暴露的云访问密钥，可能放开对企业内部与客户信息的高权限读取与修改，涉及数十万张发票（含姓名、邮寄地址与印度政府颁发的PAN编号）、数据库备份与Parquet文件、分析平台报表与经销商绩效数据，以及与车队管理相关的系统资源；其中与 FleetEdge 平台相关的数据量约70TB（70 terabytes）。同时还可触及分析平台后台（Tableau）与第三方车队平台 Azuga 的接口资源。事件最初在2023年8月通过印度国家计算机应急响应团队（CERT-In）上报，同年10月企业反馈完成关键加固；企业随后表示已彻底处置并持续接受外部审计与日志监测，但未明确是否逐一通知受影响客户。公开信息未显示有大规模恶意外流的证据，但该事件提醒车联网与售后电商场景必须立刻补齐密钥与凭据治理：禁止将密钥写入前端或仓库产物，启用保管与短期令牌、最小权限与隔离策略，对对象存储与分析平台实施精细化访问控制与审计，对含个人标识的信息分级脱敏，并建立“影响评估—客户告知—补救支持”的闭环流程，以降低持续性与连带性风险。