Toyota Motor Corporation’ın işlemesi için Toyota Connected Corporation’a emanet ettiği verilerin bir kısmının, bulut ortamının yanlış yapılandırılmasının bir sonucu olarak kamuya açıklandığı tespit edildi.
6 Kasım 2013 ile 17 Nisan 2023 arasındaki ihlal, 2.150.000 kullanıcının araba konum verilerini on yıl boyunca kullanılabilir hale getirdi.
Şirkette yayınlanan güvenlik duyurusunda, “Toyota Connected Co., Ltd. (bundan sonra şirketimiz olarak anılacaktır) tarafından yönetilen bazı verilerin, bulut ortamının yanlış yapılandırılması nedeniyle halka açık olduğu ortaya çıktı.”
Dışarıdan erişimi kısıtlamak için adımlar attığını iddia eden şirket, TC’nin yönettiği tüm bulut ortamları da dahil olmak üzere bu konuyu incelemeye devam ediyor.
İhlal Yoluyla Kamuya Açıklanan Bilgiler
2 Ocak 2012 ile 17 Nisan 2023 tarihleri arasında şirketin T-Connect G-Link, G-Link Lite veya G-BOOK hizmetlerini kullanan müşterilerin bilgileri bu sorun nedeniyle kamuoyuna açıklandı.
T-Connect, Toyota’nın sesli yardım, müşteri hizmetleri desteği, araç durumu ve yönetimi ve yolda acil yardım sağlayan araç içi akıllı hizmetidir.
Ayrıca, yanlış yapılandırılmış veritabanı aşağıdaki verileri ortaya çıkardı:
- Araç içi GPS navigasyon terminali kimlik numarası,
- Şase numarası ve
- Zaman verileri ile araç konum bilgisi.
Şirket, veri işleme düzenlemelerinin eksiksiz ve yeterli şekilde açıklanmamasının bu olayın başlıca nedeni olduğunu iddia ediyor.
Şirket, bulut ayarlarını denetlemek, bulut ortamında bir ayar araştırması yapmak ve ayar durumunu sürekli olarak kontrol etmek, personeli tam olarak eğitmek ve tekrarını önlemek için çaba sarf etmek için bir sistem geliştirmek için bir sistem uygulamayı planladı.
Verilerin kötüye kullanıldığına dair bir kanıt bulunmamakla birlikte, yetkisiz kişiler geçmiş verileri ve hatta 2,15 milyon Toyota aracının gerçek zamanlı konumunu elde etmiş olabilir.
Japon ‘Toyota Connected’ web sitesinde yayınlanan Toyota bildirisi, bu olay nedeniyle arabanın dışında çekilen video kayıtlarının açığa çıkma riskini tartışıyor.
Bu kayıtlar için tanımlanmış maruz kalma süresi, 14 Kasım 2016 ile 4 Nisan 2023 arasında veya yedi yıldan biraz daha kısadır.
Yine şartlara, zamanlamaya ve yere bağlı olarak bu videoların yayınlanması araç sahiplerinin mahremiyetini önemli ölçüde ihlal etmeyecektir.
“Araç içi terminal kimliği, şasi numarası, araç konum bilgisi ve saati sızdırılmış olabilecek müşterilerimiz için kayıtlı e-posta adresine bireysel olarak bir özür ve bildirim göndereceğiz. Ayrıca, müşterilerin sorularını ve endişelerini yanıtlamak için özel bir çağrı merkezi kuracağız” dedi.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? –
All-in-One Patch Manager Plus’ı Deneyin