Δεδομένα τοποθεσίας αυτοκινήτου 2 εκατομμυρίων πελατών που εκτέθηκαν για δέκα χρόνια
Related Posts
Η Toyota Motor Corporation αποκάλυψε μια παραβίαση δεδομένων στο περιβάλλον cloud της που εξέθεσε τις πληροφορίες τοποθεσίας αυτοκινήτου 2.150.000 πελατών για δέκα χρόνια, μεταξύ 6 Νοεμβρίου 2013 και 17 Απριλίου 2023.
Σύμφωνα με μια ειδοποίηση ασφαλείας που δημοσιεύτηκε στο ιαπωνικό newsroom της εταιρείας, η παραβίαση δεδομένων προήλθε από εσφαλμένη διαμόρφωση της βάσης δεδομένων που επέτρεπε σε οποιονδήποτε να έχει πρόσβαση στο περιεχόμενό της χωρίς κωδικό πρόσβασης.
“Ανακαλύφθηκε ότι μέρος των δεδομένων που η Toyota Motor Corporation εμπιστεύτηκε τη διαχείριση στην Toyota Connected Corporation είχαν δημοσιοποιηθεί λόγω εσφαλμένης διαμόρφωσης του περιβάλλοντος cloud.”
διαβάζει η ανακοίνωση
(μηχανική μετάφραση).
“Μετά την ανακάλυψη αυτού του θέματος, εφαρμόσαμε μέτρα για να αποκλείσουμε την πρόσβαση από το εξωτερικό, αλλά συνεχίζουμε να διεξάγουμε έρευνες, συμπεριλαμβανομένων όλων των περιβαλλόντων cloud που διαχειρίζεται η TC. Ζητούμε συγγνώμη που προκαλέσαμε μεγάλη ταλαιπωρία και ανησυχία στους πελάτες μας και στα συνδεδεμένα μέρη. “
Εκτεθειμένη τοποθεσία αυτοκινήτου και βίντεο
Αυτό το περιστατικό αποκάλυψε τις πληροφορίες πελατών που χρησιμοποίησαν τις υπηρεσίες T-Connect G-Link, G-Link Lite ή G-BOOK της εταιρείας μεταξύ 2 Ιανουαρίου 2012 και 17 Απριλίου 2023.
Το T-Connect είναι η έξυπνη υπηρεσία της Toyota στο αυτοκίνητο για φωνητική βοήθεια, υποστήριξη εξυπηρέτησης πελατών, κατάσταση και διαχείριση αυτοκινήτου και βοήθεια έκτακτης ανάγκης στο δρόμο.
Οι πληροφορίες που εκτίθενται στην εσφαλμένη βάση δεδομένων περιλαμβάνουν:
- τον αριθμό ID τερματικού πλοήγησης GPS του οχήματος,
- τον αριθμό πλαισίου και
- πληροφορίες θέσης οχήματος με δεδομένα χρόνου.
Αν και δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι τα δεδομένα χρησιμοποιήθηκαν κατάχρηση, μη εξουσιοδοτημένοι χρήστες θα μπορούσαν να έχουν πρόσβαση στα ιστορικά δεδομένα και πιθανώς στην τοποθεσία σε πραγματικό χρόνο 2,15 εκατομμυρίων αυτοκινήτων Toyota.
Είναι σημαντικό να σημειωθεί ότι τα εκτεθειμένα στοιχεία δεν αποτελούν στοιχεία προσωπικής ταυτοποίησης, επομένως δεν θα ήταν δυνατή η χρήση αυτής της διαρροής δεδομένων για την παρακολούθηση ατόμων εκτός εάν ο εισβολέας γνώριζε το VIN (αριθμός αναγνώρισης οχήματος) του αυτοκινήτου του στόχου του.
Το VIN ενός αυτοκινήτου, γνωστό και ως αριθμοί πλαισίου, είναι εύκολα προσβάσιμο, επομένως κάποιος με αρκετά κίνητρα και φυσική πρόσβαση στο αυτοκίνητο ενός στόχου θα μπορούσε θεωρητικά να έχει εκμεταλλευτεί τη δεκαετία διαρροή δεδομένων για την παρακολούθηση τοποθεσίας.
ΕΝΑ
δεύτερη δήλωση της Toyota
που δημοσιεύτηκε στον ιαπωνικό ιστότοπο «Toyota Connected» αναφέρει επίσης την πιθανότητα να εκτεθούν σε αυτό το περιστατικό εγγραφές βίντεο που ελήφθησαν έξω από το όχημα.
Η περίοδος έκθεσης για αυτές τις εγγραφές ορίστηκε μεταξύ 14 Νοεμβρίου 2016 και 4 Απριλίου 2023, δηλαδή σχεδόν επτά χρόνια.
Και πάλι, η έκθεση αυτών των βίντεο δεν θα επηρεάσει σοβαρά το απόρρητο των ιδιοκτητών αυτοκινήτων, αλλά αυτό εξαρτάται από τις συνθήκες, την ώρα και την τοποθεσία.
Η Toyota υποσχέθηκε να στείλει μεμονωμένες ειδοποιήσεις συγγνώμης στους πελάτες που επηρεάστηκαν και να δημιουργήσει ένα αποκλειστικό τηλεφωνικό κέντρο για να χειριστεί τα ερωτήματα και τα αιτήματά τους.
Τον Οκτώβριο του 2022, η Toyota ενημέρωσε τους πελάτες της για άλλη μια μακρά παραβίαση δεδομένων που προέκυψε από την αποκάλυψη ενός κλειδιού πρόσβασης στη βάση δεδομένων πελατών T-Connect σε ένα δημόσιο αποθετήριο GitHub.
Αυτό επέτρεψε σε ένα μη εξουσιοδοτημένο τρίτο μέρος να έχει πρόσβαση στα στοιχεία 296.019 πελατών μεταξύ Δεκεμβρίου 2017 και 15 Σεπτεμβρίου 2022, όταν περιορίστηκε η εξωτερική μη εξουσιοδοτημένη πρόσβαση στο χώρο αποθήκευσης του GitHub.
