Japon otomobil firması Toyota, kısa bir süre önce çevrimiçi hizmetindeki on yıllık bir veri ihlalinin, risk altındaki 2 milyondan fazla araçla ilgili bilgileri tehlikeye attığını duyurdu.
Etkilenen müşteriler arasında 2012’nin başından 17 Nisan’a kadar T-Connect ağ hizmetine kaydolanlar da vardı. TechCrunch’a göre Toyota, açığa çıkan verilerin şunları içerdiğini söyledi: “kayıtlı e-posta adresleri; araca özel şasi ve navigasyon terminal numaraları; araçların yeri ve ne zaman orada oldukları; ve arabadan görüntüleri kaydeden aracın “sürüş kaydedicisinden” videolar.
Bir şirket sözcüsü, sorunun bulut tabanlı hizmetin dış erişimden korunma şeklinde olduğunu söylüyor. Zayıf güvenlik yapılandırmaları nedeniyle, herkes verilere parola olmadan erişebilir. Sorun Nisan ayında tespit edildi, bu nedenle sunucular artık düzgün bir şekilde korunuyor.
Toyota Connected hizmeti, müşterilerin hizmet hatırlatıcıları almasına, aracın yerini belirlemesine ve gerektiğinde yardım almasına yardımcı olur. Bu nedenle, bulut tabanlı platform, kişisel olarak tanımlanabilir bilgileri açıklamadı.
Bunu yorumlayan, Comforte AG Siber Güvenlik Uzmanı Erfan Shadabi, şunları söyledi: “Her şeyden önce kuruluşların, personelini bulut güvenliğinin önemi ve yanlış yapılandırmaların olası sonuçları hakkında eğitmesi gerekiyor. Düzenli eğitim oturumları, en iyi uygulamaları aşılamaya ve önce güvenlik zihniyetini geliştirmeye yardımcı olabilir. Kuruluşlar ayrıca güvenli bir bulut ortamı sağlamak için bulut hizmeti sağlayıcılarının güvenlik yönergelerini ve en iyi uygulamalarını takip etmelidir.
“Bulut kaynaklarına izinler ve erişim hakları verirken Sıfır Güven ilkelerine uyun. Kullanıcılara yalnızca gerekli ayrıcalıkları verin ve izinsiz ifşayı önlemek için erişim kontrollerini düzenli olarak gözden geçirin. Ayrıca, tokenleştirme gibi veri merkezli güvenlik önlemlerinin benimsenmesi, insan hatasıyla ilişkili risklerin azaltılmasında oldukça etkili olabilir. Belirteçleştirme, hassas verilerin belirteç adı verilen hassas olmayan yer tutucularla değiştirilmesini içerir. Bu belirteçler, belirteçleştirme sistemine erişim olmadan anlamsız olduklarından potansiyel saldırganlar için hiçbir değer taşımaz. Tokenizasyon uygulanarak, bir ihlal meydana gelse veya veriler yanlışlıkla açığa çıksa bile, açığa çıkan veya çalınan veriler yetkisiz kişiler için işe yaramaz hale gelir”
Advanced Cyber Defence Systems (ACDS) baş teknoloji sorumlusu Elliott Wilkes ekledi: “Bir kaynak kontrol sistemi olan GitHub’daki halka açık bir depoda yanlışlıkla yayınlanan şirketten bazı kaynak kodları varmış gibi görünüyor. Bu, yaygın bir güvenlik hatasıdır ve kaynak kodu deposunda saklanan ayrıcalıklı kimlik bilgilerinin olması gerçeğiyle birleşir. Bu hem bir kaynak kontrolü sorunu hem de bir kimlik bilgisi ve erişim yönetimi sorunudur. Bu, kimlik bilgilerini güvenli bir şekilde depolamaya ve kullanmaya yardımcı olan ayrıcalıklı bir erişim yönetimi çözümü kullanılarak, bir yazılım mühendisinin bunları güvenli olmayan bir şekilde kendi başına depolamasına karşı önlenebilirdi.
“AWS ve Azure gibi bulut sistemlerinin düzenli olarak denetlenmesi, giderek düşmanca hale gelen bu internette bir zorunluluktur. Aynı şey, GitHub gibi hizmet olarak yazılım araçları için varsayılan ayarları gözden geçirmek ve geliştiricilerin ve son kullanıcıların güvenli olmayan seçimler yapmasını kısıtlamak için de geçerli. Şirketler olarak, çalışanlarımızın güvenlik açısından yanlışlıkla kötü seçimler yapmamalarına yardımcı olmak için daha iyisini yapmalıyız.
“Bu, genel olarak otomotiv endüstrisi için kesinlikle kritik, ancak gerçekten de internete bağlanmaya başlayan birçok teknoloji ve günlük tüketici aracı. Ayrıca hükümetin adım atması ve neyin iyi göründüğü konusunda standartlar belirleyen daha iyi düzenlemeler sağlaması gerekiyor. Birleşik Krallık’ın NCSC’si ve ABD’nin CISA kurumları son zamanlarda bunu gerçekten hızlandırdı ve Japonya hükümeti son zamanlarda büyük bir siber güvenlik personeli kiralamak için baskı yaparak iyi bir iş çıkardı.”