Japon otomobil üreticisi Toyota, GitHub’da depolanan ve üçüncü taraflara yaklaşık 300.000 müşteri e-posta adresine erişim sağlamış olabilecek kaynak kodunu içeren bir güvenlik ihlali tespit etti.
Firmaya göre olay, T-Connect web sitesine abone olan kullanıcıları etkiliyor. Bu hizmet, tüketicilere arabamı bulma, bakım hatırlatmaları, konsiyerj hizmetleri, araç bilgileri ve bir mobil uygulama gibi otomobil yönetim araçları sunar.
Otomobil üreticisi, bir veri ihlali uyarısında, Toyota kaynak kodunu istemeden kamu erişimine ayarlanmış bir GitHub deposuna yükleyen bir taşeronun veri kaybının birincil nedeni olduğunu ortaya koyuyor.
Depoya açık erişimin sonlandırıldığı Aralık 2017 ile Eylül 2022 arasında, bu yapılandırma hatası nedeniyle kaynak kodu çevrimiçiydi.
İşletmeye göre kaynak kodu, e-posta adresleri ve yönetim numaraları (her kullanıcıya otomatik olarak verilir) gibi müşteri verilerini tutan bir sunucunun parolasını tutuyordu.
Toyota, veri sızıntısından haberdar olur olmaz GitHub deposunu özel hale getirdiğini ve sunucu erişim anahtarını değiştirdiğini iddia ediyor.
Şirket, 296.000’den fazla müşteriye, e-posta adreslerinin potansiyel olarak açığa çıkması konusunda onları uyarmak için özür dileyen mektuplar yayınlamaya başladığını iddia ediyor. Yine de, herhangi bir üçüncü tarafın sunucuya bağlanmak için erişim anahtarını kullanıp kullanmadığını belirleyemedi.
İsimler, adresler, telefon numaraları veya kredi kartı bilgileri gibi ek müşteri verileri sorundan zarar görmedi çünkü sunucuda ifşa olmuş olabilecek bu tür bilgiler tutulmadı. Ayrıca, MyToyota uygulamaları veya Lexus araba e-posta adresleri için e-posta adresleri de etkilenmedi.
Otomobil üreticisi, güvenliği ihlal edilmiş e-posta adreslerinin kötüye kullanıldığına dair bir kanıt olmamasına rağmen, etkilenen müşterilerin kimlik avı e-postaları ve diğer dolandırıcılıkları araması gerektiğini ekliyor.
Kullanıcılar, olay nedeniyle e-posta adreslerinin ifşa edilip edilmediğini görmek için Toyota’nın web sitesindeki belirli bir sayfayı ziyaret edebilir.
Otomobil üreticisi, şüpheli bir siber saldırı nedeniyle Şubat 2022’de Japonya’daki 14 fabrikasının tamamındaki faaliyetlerini durdurmak zorunda kaldı.