Toyota предупредила клиентов, что их личная информация могла быть раскрыта после того, как ключ доступа к системе T-Connect «пролежал» на GitHub в течение почти пяти лет.
Toyota T-Connect — это официальное приложение автопроизводителя, которое позволяет владельцам автомобилей связать свой смартфон с информационно-развлекательной системой для телефонных звонков, музыки, навигации, интеграции уведомлений, данных о вождении, состояния двигателя, расхода топлива и многого другого.
Ранее Toyota обнаружила, что часть исходного кода сайта T-Connect была ошибочно опубликована на GitHub и содержала ключ доступа к серверу данных, на котором хранились адреса электронной почты клиентов и номера менеджеров.
Это позволило неавторизованной третьей стороне получить доступ к данным 296 019 клиентов в период с декабря 2017 года по 15 сентября 2022 года, а затем доступ к репозиторию GitHub был ограничен. Компания пояснила, что имена клиентов, данные кредитных карт и номера телефонов не были скомпрометированы, поскольку они не хранились в открытой базе данных.
17 сентября 2022 года ключи базы данных были изменены, что исключило возможность любого несанкционированного доступа.
Toyota обвинила в ошибке субподрядчика по разработке, но признала свою ответственность за неправильное обращение с данными клиентов и принесла извинения за доставленные неудобства.
Японский автопроизводитель не может исключить возможность того, что кто-то получил доступ и украл данные.
«В результате расследования экспертов по безопасности мы не можем подтвердить доступ третьей стороны на основании истории доступа к серверу данных, где хранятся адреса электронной почты и номера менеджеров, но в то же время мы не можем полностью отрицать это», — поясняется в уведомлении.
По этой причине всем пользователям T-Connect, зарегистрировавшимся в период с июля 2017 года по сентябрь 2022 года, рекомендуется проявлять бдительность в отношении фишинга и не открывать вложения электронной почты от неизвестных отправителей.
GitHub, со своей стороны, уже начал сканировать опубликованный код на наличие ключей API и токенов аутентификации и блокировать соответствующие коммиты. Но в случае, если разработчик использует нестандартные ключи доступа или пользовательские токены, GitHub не сможет их обнаружить по умолчанию.
