Toyota’nın Meksika’daki bilinmeyen sayıda müşterisinin kişisel bilgileriyle yüklenen Toyota’nın C360 müşteri ilişkileri yönetimi (CRM) aracındaki bir üretim API’sinin tomarlarca hassas veriyi açığa çıkardığı bulundu.
Tehdit avcısı Eaton Zveare’den yapılan bir açıklama, Toyota müşterilerinin adlarına, adreslerine, telefon numaralarına, e-postalarına ve vergi kimlik numaralarının yanı sıra C360 CRM’de saklanan araç mülkiyeti ve hizmet geçmişine erişmenin nasıl mümkün olduğunu özetliyor.
Sorunu Toyota’ya bildirdikten sonra Zveare, sitelerin çevrimdışı duruma getirildiğini ve API’lerin artık bir kimlik doğrulama belirteci gerektirecek şekilde güvenli hale getirildiğini söyledi.
Zveare, “Bu CRM’de kaç müşterinin olduğunu bilmediğimi vurgulamak isterim” diye yazdı. “Bir kullanıcı listesi yoktu — müşterileri yalnızca ada, kimliğe, telefon numarasına veya e-posta adresine göre aramak mümkündü.”