Toyota выявила новую утечку данных

В середине мая Toyota Motor Corporation обнаружила, что один из ее облачных сервисов на протяжении 10 лет раскрывал информацию о 2 млн автомобилей и их владельцах. Теперь выяснилось, что личную информацию о владельцах авто «сливали» еще два неправильно настроенных облачных сервиса, и это длилось около 7 лет.

После обнаружения первой утечки японский автопроизводитель провел тщательное расследование всех облачных сред, управляемых Toyota Connected Corporation. В итоге в компании сообщили, что «часть данных, содержащих информацию о клиентах, была потенциально доступна извне».

Первый облачный сервис «сливал» личную информацию клиентов Toyota в Азии и Океании в период с октября 2016 года по май 2023 года. База данных, доступ к которой должны были иметь только дилеры и поставщики услуг, по ошибке оказалась доступна всем желающим, что привело к утечке следующей информации о клиентах:

  • адрес;
  • имя;
  • номер телефона;
  • адрес электронной почты;
  • ID клиента;
  • регистрационный номер автомобиля;
  • идентификационный номер автомобиля (VIN).

В компании не уточняют, сколько клиентов пострадало от этой утечки.

Второй облачный сервис был открыт всем желающим в период с 9 февраля 2015 года по 12 мая 2023 года и содержал данные, связанные с автомобильными навигационными системами, включая  информацию об обновлении картографических данных и даты создания данных (без информации о местонахождении автомобиля).

Известно, что эта утечка затронула примерно 260 000 клиентов в Японии, которые были подписчиками навигационной системы G-BOOK с помощью G-BOOK mX или G-BOOK mX Pro, а также тех, кто подписался на G-Link/G-Link Lite и обновлял карты с помощью службы Toyota on Demand в период с 9 февраля 2015 года и 31 марта 2022 года.

Среди затронутых автомобилей: Lexus LS, GS, HS, IS, ISF, ISC, LFA, SC, CT и RX, проданные в период с 2009 по 2015 год.

Toyota сообщает, что записи автоматически удалялись из облачной среды через некоторое время, поэтому в каждый момент времени в базе было доступно весьма ограниченное количество данных. Также подчеркивается, что даже если к данным был получен извне, их бы не хватило для идентификации владельца авто или получения доступа к системам автомобиля.

Представители автогиганта заявляют, что теперь компания внедрила систему, которая регулярно отслеживает облачные конфигурации и настройки БД во всех средах, чтобы предотвратить подобные утечки в будущем.

Данные о правообладателе фото и видеоматериалов взяты с сайта «Хакер», подробнее в Правилах сервиса
Анализ
×
Meta (запрещена в РФ)
Сфера деятельности:Связь и ИТ
123
Toyota
Сфера деятельности:Транспорт
9
Toyota Connected Inc.
Организации
Big Data
Технологии
51