Toyota, 2 Milyon Japon Müşterinin Otomobil Konumunu Açığa Çıkardı

Şirket, insan hatasının, yan kuruluş Toyota Connected Corporation’da aracın konumu, günün saatleri ve araç kimlik numarası gibi verileri açığa çıkaran bir bulut yanlış yapılandırmasına neden olduğunu söyledi. Otomobil üreticisinin uzaktan yardım ve akıllı telefon bağlantı olanaklarını yöneten yan kuruluş, ayrıca söz konusu yabancılar, araç üstü kayıt cihazıyla araç dışında çekilen videolara ek olarak erişebilmiş olabilir.

Konum verileri Kasım 2013’ten Nisan ortasına kadar çevrimiçi olarak ifşa edilirken, video Kasım 2015 ile Nisan başı arasında güvenli olmayan bir şekilde barındırıldı.

Toyota, verilerin tek başına bireysel araç sahiplerini tanımlamak için kullanılamayacağını söyledi. Araba üreticisi ayrıca, dışarıdan bir tarafın verilere eriştiğine dair hiçbir kanıt bulamadığını söyledi. Teşhir, Toyota’nın T-Connect hizmetinin ve benzer Lexus G-Link hizmetinin 2,15 milyon kullanıcısını etkiliyor.

Olay, Toyota’nın bir taşeronun yaklaşık 300.000 e-posta adresi tutan bir veri sunucusuna erişim anahtarı içeren T-Connect için halka açık bir GitHub deposu kaynak kodunu yanlışlıkla yüklediğini söylemesinden sadece aylar sonra geldi. Toyoyta, Aralık 2017’den itibaren etkilenen e-postaları toplamaya başladı. 15 Eylül 2022’de genel havuzu keşfetti, o gün özel yaptı ve iki gün sonra erişim anahtarını değiştirdi.

Mart ayında Toyota’nın İtalya distribütörü de müşterilerin telefon numaralarının ve e-posta adreslerinin bir Salesforce Pazarlama Bulutu örneği aracılığıyla 18 aydan uzun bir süre boyunca açığa çıktığını söyledi. Veri ifşası, üçüncü tarafların “telefon numaralarına ve e-posta adreslerine, müşteri izleme bilgilerine ve e-posta, SMS ve push-bildirim içeriklerine erişmesine” olanak sağladı (bkz.: İhlal Özeti: Lumen, QNAP, NCB ve Toyota İtalya).