کالین تیری
شرکت تویوتا موتور هفته گذشته هشدار داد که ممکن است اطلاعات شخصی مشتریان پس از نزدیک به پنج سال در دسترس بودن یک کلید دسترسی در GitHub در دسترس عموم قرار گرفته باشد.
تویوتا اخیراً کشف کرده است که بخشی از کد منبع سایت T-Connect به اشتباه در GitHub منتشر شده است و حاوی یک کلید دسترسی به سرور داده است که آدرسهای ایمیل مشتریان و شمارههای مدیریتی را ذخیره میکند.
T-Connect برنامه ارتباطی رسمی خودروساز ژاپنی است که به دارندگان خودروهای تویوتا اجازه می دهد تا تلفن هوشمند خود را با سیستم خودرو برای تماس های تلفنی، موسیقی، ناوبری، ادغام اعلان ها، داده های رانندگی، وضعیت موتور، مصرف سوخت و موارد دیگر مرتبط کنند.
این انتشار تصادفی در GitHub امکان دسترسی یک شخص ثالث غیرمجاز را به جزئیات 296,019 مشتری بین دسامبر 2017 تا 15 سپتامبر 2022، زمانی که دسترسی به مخزن GitHub محدود شده بود، فراهم کرد.
در 17 سپتامبر 2022، تویوتا کلیدهای پایگاه داده را تغییر داد و تمام دسترسی های احتمالی اشخاص ثالث غیرمجاز را حذف کرد.
با این حال، خودروساز ژاپنی خبر هفته گذشته توضیح داد که نام مشتریان، دادههای کارت اعتباری و شماره تلفن به خطر نیفتادهاند، زیرا در پایگاه داده در معرض ذخیره نشدهاند.
در حالی که تویوتا یک پیمانکار فرعی توسعه را مقصر این خطا دانست، مسئولیت خود را در مورد سوء استفاده از دادههای مشتری تشخیص داد و بابت هر گونه ناراحتی ایجاد شده عذرخواهی کرد.
این خودروساز به این نتیجه رسید که اگرچه هیچ نشانهای از سوء استفاده از دادهها وجود ندارد، اما هنوز نمیتواند احتمال دسترسی شخصی و سرقت دادهها را رد کند.
در نتیجه بررسی کارشناسان امنیتی، اگرچه نمیتوانیم دسترسی شخص ثالث را بر اساس سابقه دسترسی سرور دادهای که آدرس ایمیل مشتری و شماره مدیریت مشتری در آن ذخیره شده است تأیید کنیم، در عین حال نمیتوانیم به طور کامل رد کنیم. تویوتا در اطلاعیه خود اضافه کرد (ترجمه).
با این حال، به همه کاربران T-Connect که بین ژوئیه 2017 و سپتامبر 2022 ثبت نام کرده اند، توصیه شده است که نسبت به این موضوع هوشیار بمانند. فیشینگ کلاهبرداری و جلوگیری از باز کردن هرگونه پیوست ایمیل از فرستندگان ناشناس که ادعا می کنند از تویوتا هستند.