קולין תיירי
חברת Toyota Motor Corporation הזהירה בשבוע שעבר כי ייתכן שהמידע האישי של הלקוחות נחשף לאחר שמפתח גישה היה זמין לציבור ב-GitHub במשך קרוב לחמש שנים.
טויוטה גילתה לאחרונה שחלק מקוד המקור של אתר T-Connect פורסם בטעות ב-GitHub והכיל מפתח גישה לשרת הנתונים שאחסן כתובות אימייל ומספרי ניהול של לקוחות.
T-Connect היא אפליקציית הקישוריות הרשמית של יצרנית הרכב היפנית המאפשרת לבעלי רכבי טויוטה לקשר את הסמארטפון שלהם עם מערכת הרכב לשיחות טלפון, מוזיקה, ניווט, שילוב התראות, נתוני נהיגה, מצב מנוע, צריכת דלק ועוד.
פרסום מקרי זה ב-GitHub איפשר לצד שלישי לא מורשה לגשת לפרטים של 296,019 לקוחות בין דצמבר 2017 ל-15 בספטמבר 2022, כאשר הגישה למאגר GitHub הוגבלה.
ב-17 בספטמבר 2022 שינתה טויוטה את מפתחות מסד הנתונים וביטלה כל גישה אפשרית מצדדים שלישיים לא מורשים.
עם זאת, של יצרנית הרכב היפנית הודעה בשבוע שעבר הסביר כי שמות לקוחות, נתוני כרטיסי אשראי ומספרי טלפון לא נפגעו מכיוון שהם לא אוחסנו במסד הנתונים החשוף.
בעוד טויוטה האשימה קבלן משנה לפיתוח בשגיאה, היא הכירה באחריותה לטיפול שגוי בנתוני לקוחות והתנצלה על אי הנוחות שנגרמה.
יצרנית הרכב הגיעה למסקנה שאמנם לא היו סימנים לניצול לא נכון של נתונים, היא עדיין לא יכלה לשלול את האפשרות שמישהו ייגש לנתונים ויגנוב אותם.
"כתוצאה מחקירה של מומחי אבטחה, למרות שאיננו יכולים לאשר גישה של צד שלישי בהתבסס על היסטוריית הגישה של שרת הנתונים שבו מאוחסנים כתובת הדוא"ל של הלקוח ומספר ניהול הלקוח, בו-זמנית, איננו יכולים להכחיש לחלוטין זה", הוסיפה טויוטה בהודעתה (מתורגמת).
עם זאת, הומלץ לכל משתמשי T-Connect שנרשמו בין יולי 2017 לספטמבר 2022 להישאר ערניים מפני דיוג הונאות וכדי להימנע מפתיחת קבצים מצורפים למייל משולחים לא ידועים הטוענים שהם מטויוטה.
