Toyota Motor Corporation, bulut ortamında 6 Kasım 2013 ve 17 Nisan 2023 arasında on yıl boyunca 2.150.000 müşterinin araba konum bilgilerini ortaya çıkaran bir veri ihlali açıkladı.
Şirketin Japon haber odasında yayınlanan bir güvenlik bildirimine göre, veri ihlali, kimsenin içeriğine şifre olmadan erişmesine izin veren bir veritabanı yanlış yapılandırmasından kaynaklandı.
"Toyota Motor Corporation'ın Toyota Connected Corporation'a yönetildiği verilerin bir kısmının bulut ortamının yanlış yapılandırılması nedeniyle kamuya açıklandığı keşfedildi."
"Bu konunun keşfinden sonra, dıştan erişimi engellemek için önlemler uyguladık, ancak TC tarafından yönetilen tüm bulut ortamları da dahil olmak üzere soruşturmalar yapmaya devam ediyoruz. Müşterilerimize ve ilgili partilere büyük rahatsızlık ve endişe yarattığımız için özür dileriz. "
Bu olay, şirketin T-Connect G-Link, G-Link Lite veya G-Book hizmetlerini 2 Ocak 2012 ve 17 Nisan 2023 arasında kullanan müşterilerin bilgilerini ortaya koydu.
T-Connect, Toyota'nın ses yardımı, müşteri hizmetleri desteği, araba durumu ve yönetimi ve yollu acil yardım için araç içi akıllı hizmetidir.
Yanlış yapılandırılmış veritabanında maruz kalan bilgiler şunları içerir:
Verilerin kötüye kullanıldığına dair bir kanıt olmasa da, yetkisiz kullanıcılar geçmiş verilere ve muhtemelen 2.15 milyon Toyota otomobillerinin gerçek zamanlı konumuna erişebilirdi.
Maruz kalan ayrıntıların kişisel olarak tanımlanabilir bilgileri oluşturmadığını belirtmek önemlidir, bu nedenle saldırgan hedeflerinin arabasının VIN'ini (araç kimlik numarası) bilmedikçe bu veri sızıntısını bireyleri izlemek için kullanmak mümkün olmaz.
Şasi numarası olarak da bilinen bir otomobilin Vin'e kolayca erişilebilir, bu nedenle bir hedefin arabasına yeterli motivasyon ve fiziksel erişimi olan biri teorik olarak konum izleme için on yıl süren veri sızıntısını kullanabilir.
Japon 'Toyota Connected' sitesinde yayınlanan ikinci bir Toyota ifadesi, bu olayda araca maruz kalan araç dışında alınan video kayıtlarının olasılığından da bahsediyor.
Bu kayıtlar için maruz kalma süresi, yaklaşık yedi yıl olan 14 Kasım 2016 ve 4 Nisan 2023 arasında tanımlanmıştır.
Yine, bu videoların maruz kalması otomobil sahiplerinin gizliliğini ciddi şekilde etkilemez, ancak bu koşullara, zamana ve konuma bağlıdır.
Toyota, etkilenen müşterilere bireysel özür bildirimleri göndermeye ve sorularını ve isteklerini yerine getirmek için özel bir çağrı merkezi kurmaya söz verdi.
Ekim 2022'de Toyota, müşterilerine genel bir GitHub deposunda bir T-Connect Müşteri Veritabanı Erişim Anahtarının ortaya çıkmasından kaynaklanan başka bir uzun veri ihlali konusunda bilgi verdi.
Bu, yetkisiz bir üçüncü tarafın, GitHub deposuna harici yetkisiz erişimin kısıtlandığı Aralık 2017 ile 15 Eylül 2022 arasında 296.019 müşterinin ayrıntılarına erişmesini sağladı.
Fidye yazılımı çetesi 5.8 milyon pharmerica hastasının verilerini çalıyor
Prestashop, herhangi bir arka uç kullanıcının veritabanlarını silmesini sağlayan hatayı düzeltir
Kodi, çevrimiçi satılık forum veritabanından sonra veri ihlalini açıklar
Latitude finansal veri ihlali artık 14 milyon müşteriyi etkiliyor
Lockbit Fidye Yazılımı Çetesi artık City of Oakland Breach'i de iddia ediyor
Kaynak: Bleeping Computer