Toyota Motor Corporation, bulut ortamında, 6 Kasım 2013 ile 17 Nisan 2023 arasında on yıl boyunca 2.150.000 müşterinin araç konum bilgilerini açığa çıkaran bir veri ihlalini açıkladı.
Şirketin Japon haber odasında yayınlanan bir güvenlik bildirimine göre, veri ihlali, herhangi birinin içeriğine parola olmadan erişmesine izin veren bir veritabanı yanlış yapılandırmasından kaynaklandı.
Bildiride, “Toyota Motor Corporation’ın Toyota Connected Corporation’a yönetmesi için emanet ettiği verilerin bir kısmının, bulut ortamının yanlış yapılandırılması nedeniyle kamuya açıklandığı keşfedildi” ifadesi yer alıyor (makine tercümesi).
“Bu konunun fark edilmesinin ardından dışarıdan erişimi engelleyecek önlemler aldık ancak TC tarafından yönetilen tüm bulut ortamları dahil olmak üzere incelemelerimizi sürdürüyoruz. Müşterilerimize ve ilgili taraflara büyük rahatsızlık ve endişe yaşattığımız için özür dileriz. “
Maruz kalan araba konumu ve videoları
Bu olay, 2 Ocak 2012 ile 17 Nisan 2023 tarihleri arasında şirketin T-Connect G-Link, G-Link Lite veya G-BOOK hizmetlerini kullanan müşterilerin bilgilerini açığa çıkardı.
T-Connect, Toyota’nın sesli yardım, müşteri hizmetleri desteği, araç durumu ve yönetimi ve yolda acil durum yardımı için araç içi akıllı hizmetidir.
Yanlış yapılandırılmış veritabanında açığa çıkan bilgiler şunları içerir:
- araç içi GPS navigasyon terminali kimlik numarası,
- şasi numarası ve
- zaman verileri ile araç konum bilgisi.
Verilerin kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, yetkisiz kullanıcılar geçmiş verilere ve muhtemelen 2,15 milyon Toyota arabasının gerçek zamanlı konumuna erişmiş olabilir.
Açıklanan ayrıntıların kişisel olarak tanımlanabilir bilgi teşkil etmediğini belirtmek önemlidir, bu nedenle, saldırgan hedefin arabasının VIN’sini (araç kimlik numarası) bilmedikçe bu veri sızıntısını kişileri izlemek için kullanmak mümkün olmayacaktır.
Şasi numarası olarak da bilinen bir arabanın VIN’ine kolayca erişilebilir, bu nedenle, bir hedefin arabasına yeterli motivasyona ve fiziksel erişime sahip olan biri, konum takibi için on yıllık veri sızıntısını teorik olarak kullanabilirdi.
Japon ‘Toyota Connected’ sitesinde yayınlanan ikinci bir Toyota bildirisinde de aracın dışında çekilen video kayıtlarının bu olayda açığa çıkmış olabileceğinden bahsediliyor.
Bu kayıtların maruz kalma süresi, yaklaşık yedi yıl olan 14 Kasım 2016 ile 4 Nisan 2023 arasında tanımlandı.
Yine, bu videoların açığa çıkması araç sahiplerinin mahremiyetini ciddi şekilde etkilemez, ancak bu durum koşullara, zamana ve yere bağlıdır.
Toyota, etkilenen müşterilere bireysel özür bildirimleri gönderme ve onların soru ve isteklerini ele almak için özel bir çağrı merkezi kurma sözü verdi.
Ekim 2022’de Toyota, halka açık bir GitHub deposunda bir T-Connect müşteri veritabanı erişim anahtarının ifşa edilmesinden kaynaklanan başka bir uzun süreli veri ihlali hakkında müşterilerini bilgilendirdi.
Bu, yetkisiz bir üçüncü tarafın, GitHub deposuna harici yetkisiz erişimin kısıtlandığı Aralık 2017 ile 15 Eylül 2022 arasında 296.019 müşterinin ayrıntılarına erişmesini sağladı.