Toyota оприлюднила інформацію про втечу даних, спричинену розкритим ключем доступу на GitHub

Опубліковано: Жовтень 12, 2022

Минулого тижня Toyota Motor Corporation попередила, що особиста інформація клієнтів могла бути розкрита після того, як ключ доступу був загальнодоступним на GitHub протягом майже п’яти років.

Toyota нещодавно виявила, що частина вихідного коду сайту T-Connect була помилково опублікована на GitHub і містила ключ доступу до сервера даних, на якому зберігалися адреси електронної пошти клієнтів і номери керування.

T-Connect — це офіційна програма для підключення японського автовиробника, яка дозволяє власникам автомобілів Toyota зв’язувати свій смартфон із системою автомобіля для телефонних дзвінків, музики, навігації, інтеграції сповіщень, даних про водіння, стан двигуна, споживання палива тощо.

Ця випадкова публікація на GitHub дозволила неавторизованій третій стороні отримати доступ до інформації про 296,019 2017 клієнтів у період з грудня 15 року по 2022 вересня XNUMX року, коли доступ до сховища GitHub було обмежено.

17 вересня 2022 року Toyota змінила ключі бази даних і усунула будь-який потенційний доступ неавторизованих третіх осіб.

Однак японського автовиробника оголошення Минулого тижня пояснили, що імена клієнтів, дані кредитних карток і номери телефонів не були зламані, оскільки вони не зберігалися в розкритій базі даних.

Хоча Toyota звинуватила в помилці субпідрядника з розробки, вона визнала свою відповідальність за неправильну обробку даних клієнтів і вибачилася за будь-які спричинені незручності.

Автовиробник дійшов висновку, що, незважаючи на відсутність ознак незаконного привласнення даних, він все ж не може виключити можливість того, що хтось отримав доступ до даних і вкрав їх.

«У результаті розслідування, проведеного експертами з безпеки, хоча ми не можемо підтвердити доступ третьої сторони на основі історії доступу до сервера даних, де зберігаються адреса електронної пошти клієнта та номер керування клієнтом, у той же час ми не можемо повністю спростувати це», — додала Toyota у своєму повідомленні (перекладено).

Тим не менш, усім користувачам T-Connect, які зареєструвалися в період з липня 2017 року по вересень 2022 року, рекомендовано бути уважними щодо phishing шахрайства та уникати відкриття будь-яких вкладень електронної пошти від невідомих відправників, які стверджують, що вони з Toyota.