丰田:200万客户10年以来的位置信息遭泄漏
编译:代码卫士
丰田汽车公司披露,其云环境数据遭泄漏,导致215万名客户的汽车位置信息遭泄漏且长达10年的时间,涉及2013年11月6日至2023年4月17日之间的数据。
从该公司发布的一则日语安全通知来看,该数据泄露是由数据库配置不当导致的,可使任何人在无需密码的情况下访问其内容。该通知指出,“丰田汽车公司托管给丰田互联公司管理的部分数据,因云环境配置不当而遭泄漏。发现此事件后,我们已执行多种措施拦截外部访问,但仍在继续开展调查,包括所有由丰田互联公司管理的云环境。由此给客户和相关方带来的不便和担忧,我们深感抱歉。”
被泄露的汽车位置和视频
该事件泄漏了在2012年1月2日至2023年4月17日期间使用 T-Connect G-Link、G-Link Lite或者 G-BOOK 服务的客户的信息。
T-Connect 是丰田的车内智能服务,提供语音帮助、客户服务支持、汽车状态和管理以及公路紧急援助服务。
配置不当的数据库中暴露的信息如下:
车内 GPS 导航终端 ID 号码
车架号,以及
车辆位置信息且附带时间数据
虽然尚未有证据表明数据遭滥用,但越权用户可访问215万丰田汽车的历史数据甚至是实时位置信息。值得注意的是,这些被暴露的详情并不包括个人可识别信息,因此无法用于追踪个人,除非了解目标车辆的车辆识别代号 (VIN)。车辆识别代号也就是车架号,非常容易即可访问,因此任何人只要有足够的动力和对目标汽车的物理访问权限,理论上就可利用该事件的泄漏信息追踪汽车位置。
丰田汽车公司在日语版“丰田互联”网站上发布了另一份声明,也提到在汽车外拍摄的视频记录很可能遭泄漏。这些视频记录的暴露期限是2016年11月14日至2023年4月4日,近7年的时间。
这些被暴露的视频可能并未严重影响车主的隐私安全,不过具体要取决于条件、时间和位置情况。
丰田汽车承诺向所有受影响客户单独发送致歉通知并设立专门的呼叫中心处理客户查询和要求。2022年10月,丰田通知客户称 T-Connect 客户数据访问密钥别暴露在 GitHub 上的某公开库中。这就导致越权第三方访问2017年12月至2022年9月15日期间296019名客户的详情,当时对该 GitHub 库的外部越权访问权限遭限制。
https://www.bleepingcomputer.com/news/security/toyota-car-location-data-of-2-million-customers-exposed-for-ten-years/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。