Η Toyota αποκαλύπτει παραβίαση δεδομένων που προκαλείται από εκτεθειμένο κλειδί πρόσβασης στο GitHub

Δημοσιεύθηκε στις: Οκτώβριος 12, 2022

Η Toyota Motor Corporation προειδοποίησε την περασμένη εβδομάδα ότι τα προσωπικά στοιχεία των πελατών ενδέχεται να έχουν εκτεθεί αφού ένα κλειδί πρόσβασης ήταν δημόσια διαθέσιμο στο GitHub για σχεδόν πέντε χρόνια.

Η Toyota ανακάλυψε πρόσφατα ότι ένα μέρος του πηγαίου κώδικα του ιστότοπου T-Connect δημοσιεύτηκε κατά λάθος στο GitHub και περιείχε ένα κλειδί πρόσβασης στον διακομιστή δεδομένων που αποθήκευε διευθύνσεις email πελατών και αριθμούς διαχείρισης.

Το T-Connect είναι η επίσημη εφαρμογή συνδεσιμότητας της ιαπωνικής αυτοκινητοβιομηχανίας που επιτρέπει στους κατόχους οχημάτων Toyota να συνδέσουν το smartphone τους με το σύστημα του οχήματος για τηλεφωνικές κλήσεις, μουσική, πλοήγηση, ενοποίηση ειδοποιήσεων, δεδομένα οδήγησης, κατάσταση κινητήρα, κατανάλωση καυσίμου και πολλά άλλα.

Αυτή η τυχαία δημοσίευση στο GitHub έδωσε τη δυνατότητα σε ένα μη εξουσιοδοτημένο τρίτο μέρος να έχει πρόσβαση στα στοιχεία 296,019 πελατών μεταξύ Δεκεμβρίου 2017 και 15 Σεπτεμβρίου 2022, όταν περιορίστηκε η πρόσβαση στο αποθετήριο GitHub.

Στις 17 Σεπτεμβρίου 2022, η Toyota άλλαξε τα κλειδιά της βάσης δεδομένων και εξάλειψε κάθε πιθανή πρόσβαση από μη εξουσιοδοτημένα τρίτα μέρη.

Ωστόσο, της ιαπωνικής αυτοκινητοβιομηχανίας ανακοίνωση την περασμένη εβδομάδα εξήγησε ότι τα ονόματα πελατών, τα δεδομένα πιστωτικών καρτών και οι αριθμοί τηλεφώνου δεν παραβιάστηκαν, καθώς δεν είχαν αποθηκευτεί στην εκτεθειμένη βάση δεδομένων.

Ενώ η Toyota κατηγόρησε έναν υπεργολάβο ανάπτυξης για το σφάλμα, αναγνώρισε την ευθύνη της για κακή διαχείριση των δεδομένων πελατών και ζήτησε συγγνώμη για την όποια ταλαιπωρία προκλήθηκε.

Η αυτοκινητοβιομηχανία κατέληξε στο συμπέρασμα ότι, ενώ δεν υπήρχαν ενδείξεις υπεξαίρεσης δεδομένων, δεν μπορούσε να αποκλείσει την πιθανότητα κάποιος να έχει πρόσβαση και να κλέψει τα δεδομένα.

«Ως αποτέλεσμα έρευνας από ειδικούς σε θέματα ασφάλειας, αν και δεν μπορούμε να επιβεβαιώσουμε την πρόσβαση από τρίτο μέρος με βάση το ιστορικό πρόσβασης του διακομιστή δεδομένων όπου είναι αποθηκευμένες η διεύθυνση email του πελάτη και ο αριθμός διαχείρισης πελατών, ταυτόχρονα, δεν μπορούμε να αρνηθούμε εντελώς αυτό», πρόσθεσε η Toyota στην ανακοίνωσή της (μεταφρασμένη).

Τούτου λεχθέντος, όλοι οι χρήστες του T-Connect που εγγράφηκαν μεταξύ Ιουλίου 2017 και Σεπτεμβρίου 2022 συμβουλεύτηκαν να παραμείνουν σε εγρήγορση Phishing απάτες και για να αποφύγετε το άνοιγμα τυχόν συνημμένων email από άγνωστους αποστολείς που ισχυρίζονται ότι προέρχονται από την Toyota.