Toyota Motor Corporation, bir erişim anahtarının GitHub'da yaklaşık beş yıldır kamuya açıklandıktan sonra müşterilerin kişisel bilgilerinin ortaya çıkmış olabileceğini uyarıyor.
Toyota T-Connect, Toyota otomobil sahiplerinin akıllı telefonlarını telefon görüşmeleri, müzik, navigasyon, bildirim entegrasyonu, sürüş verileri, motor durumu, yakıt tüketimi ve daha fazlası için akıllı telefonlarını araçların bilgi-eğlence sistemi ile bağlamasına izin veren otomobil üreticisinin resmi bağlantı uygulamasıdır.
Toyota son zamanlarda T-Connect site kaynak kodunun bir kısmının GitHub'da yanlışlıkla yayınlandığını ve müşteri e-posta adreslerini ve yönetim numaralarını saklayan veri sunucusuna bir erişim anahtarı içerdiğini keşfetti.
Bu, yetkisiz bir üçüncü tarafın, GitHub deposuna erişimin kısıtlandığı Aralık 2017 ile 15 Eylül 2022 arasında 296.019 müşterinin ayrıntılarına erişmesini mümkün kıldı.
17 Eylül 2022'de, veritabanının anahtarları değiştirildi ve yetkisiz üçüncü taraflardan tüm potansiyel erişimi temizledi.
Duyuru, müşteri adlarının, kredi kartı verilerinin ve telefon numaralarının maruz kalan veritabanında saklanmadığı için tehlikeye atılmadığını açıklıyor.
Toyota, hata için bir geliştirme taşeronunu suçladı, ancak müşteri verilerinin yanlış kullanılması sorumluluğunu kabul etti ve neden olduğu rahatsızlıktan dolayı özür diledi.
Japon otomobil üreticisi, veri kötüye kullanma belirtisi olmasa da, birisinin verilere erişmesi ve çalması olasılığını göz ardı edemeyeceği sonucuna varıyor.
"Güvenlik uzmanları tarafından yapılan bir soruşturma sonucunda, müşterinin e -posta adresinin ve müşteri yönetimi numarasının depolandığı veri sunucusunun erişim geçmişine dayanarak üçüncü bir tarafın erişimini onaylayamayız, aynı zamanda tamamen inkar edemeyiz " - bildirimi açıklar (makine tercüme edilir).
Bu nedenle, Temmuz 2017 ile Eylül 2022 arasında kayıtlı T-Connect kullanıcılarının kimlik avı dolandırıcılığına karşı uyanık olmaları ve Toyota'dan geldiğini iddia eden bilinmeyen gönderenlerden e-posta ekleri açmaktan kaçınmaları tavsiye edilir.
Bu tür güvenlik olayı, hassas verilerin maruz kalma riskine yerleştirilen büyük ölçekli bir sorun haline gelmiştir.
Eylül ayında Symantec'in güvenlik analistleri, iOS ve Android için yaklaşık 2.000 uygulamanın kodlarında sert kodlanmış AWS kimlik bilgileri içerdiğini açıkladı.
Bu genellikle geliştiricinin ihmalinin sonucudur, birden fazla uygulama yinelemesini test ederken varlık getirme, hizmet erişimi ve yapılandırmayı hızlı ve kolay bir şekilde güncellemek için kodda saklanmasıdır.
Bu kimlik bilgileri, yazılım gerçek dağıtım için hazır olduğunda kaldırılmalıdır, ancak maalesef T-Connect uygulamasının gösterdiği gibi, bu her zaman yapılmaz.
Devam eden bu sorun nedeniyle Github, daha iyi güvenliği sağlamak için kimlik doğrulama anahtarları içeren sırlar ve kod taahhütleri için yayınlanmış kodu taramaya başladı.
Ancak, bir geliştirici standart olmayan erişim anahtarları veya özel jeton kullanıyorsa, GitHub varsayılan olarak bunları algılayamaz.
Tiktok, bilgisayar korsanları kullanıcı verilerini sızdırdıktan sonra güvenlik ihlalini reddediyor, kaynak kodu
Polis Gençleri Sızan Optus Verilerini Mağdurlara Kullandığı İçin Tutukladı
Fidye yazılımı çetesi LAUSD okul sisteminden çalınan veriler
Optus Hacker özür diliyor ve tüm çalınan verileri siliyor
TargetCompany fidye yazılımı saldırılarında hacklenen Microsoft SQL sunucuları
Kaynak: Bleeping Computer