Toyota, 2 Milyon Japon Müşterinin Otomobil Konumunu Açığa Çıkardı


Bulut Güvenliği , Olay ve İhlal Müdahalesi , Güvenlik Operasyonları

Tespit Edilmeyen Bulut Yanlış Yapılandırması, Araç Bilgilerini On Yıldan Fazla Bir Süre Açığa Çıkardı

Jayant Chakraborty (@JayJay_Tech) •
12 Mayıs 2023

Toyota, 2 Milyon Japon Müşterinin Otomobil Konumunu Açığa Çıkardı
Görsel: Shutterstock

Cuma günü Toyota, iki milyondan fazla Japon müşteriye ait on yıllık araba konum verilerini çevrimiçi olarak ifşa ettiğini açıkladı.

Ayrıca bakınız: Olaya Hazırlık ve Müdahalenin Kritik Doğası

Şirket, insan hatasının, yan kuruluş Toyota Connected Corporation’da aracın konumu, günün saatleri ve araç kimlik numarası gibi verileri açığa çıkaran bir bulut yanlış yapılandırmasına neden olduğunu söyledi. Otomobil üreticisinin uzaktan yardım ve akıllı telefon bağlantı olanaklarını yöneten yan kuruluş, ayrıca söz konusu yabancılar, araç üstü kayıt cihazıyla araç dışında çekilen videolara ek olarak erişebilmiş olabilir.

Konum verileri Kasım 2013’ten Nisan ortasına kadar çevrimiçi olarak ifşa edilirken, video Kasım 2015 ile Nisan başı arasında güvenli olmayan bir şekilde barındırıldı.

Toyota, verilerin tek başına bireysel araç sahiplerini tanımlamak için kullanılamayacağını söyledi. Araba üreticisi ayrıca, dışarıdan bir tarafın verilere eriştiğine dair hiçbir kanıt bulamadığını söyledi. Teşhir, Toyota’nın T-Connect hizmetinin ve benzer Lexus G-Link hizmetinin 2,15 milyon kullanıcısını etkiliyor.

Olay, Toyota’nın bir taşeronun yaklaşık 300.000 e-posta adresi tutan bir veri sunucusuna erişim anahtarı içeren T-Connect için halka açık bir GitHub deposu kaynak kodunu yanlışlıkla yüklediğini söylemesinden sadece aylar sonra geldi. Toyoyta, Aralık 2017’den itibaren etkilenen e-postaları toplamaya başladı. 15 Eylül 2022’de genel havuzu keşfetti, o gün özel yaptı ve iki gün sonra erişim anahtarını değiştirdi.

Mart ayında Toyota’nın İtalya distribütörü de müşterilerin telefon numaralarının ve e-posta adreslerinin bir Salesforce Pazarlama Bulutu örneği aracılığıyla 18 aydan uzun bir süre boyunca açığa çıktığını söyledi. Veri ifşası, üçüncü tarafların “telefon numaralarına ve e-posta adreslerine, müşteri izleme bilgilerine ve e-posta, SMS ve push-bildirim içeriklerine erişmesine” olanak sağladı (bkz.: İhlal Özeti: Lumen, QNAP, NCB ve Toyota İtalya).





Source link