Toyota Motor Corporation reveló una violación de datos en su entorno de nube que expuso la información de ubicación de automóviles de 2 150 000 clientes durante diez años, entre el 6 de noviembre de 2013 y el 17 de abril de 2023.
De acuerdo con un aviso de seguridad publicado en la sala de redacción japonesa de la compañía, la violación de datos se debió a una mala configuración de la base de datos que permitía a cualquier persona acceder a su contenido sin contraseña.
«Se descubrió que parte de los datos que Toyota Motor Corporation encomendó a Toyota Connected Corporation para administrar se habían hecho públicos debido a una mala configuración del entorno de la nube», dice el aviso (traducido automáticamente).
«Después del descubrimiento de este asunto, implementamos medidas para bloquear el acceso desde el exterior, pero continuamos realizando investigaciones, incluidos todos los entornos en la nube administrados por TC. Pedimos disculpas por causar grandes molestias y preocupaciones a nuestros clientes y partes relacionadas. «
Ubicación y videos del automóvil expuesto
Este incidente expuso la información de los clientes que usaron los servicios T-Connect G-Link, G-Link Lite o G-BOOK de la compañía entre el 2 de enero de 2012 y el 17 de abril de 2023.
T-Connect es el servicio inteligente en el automóvil de Toyota para asistencia de voz, soporte de servicio al cliente, estado y administración del automóvil y ayuda de emergencia en la carretera.
La información expuesta en la base de datos mal configurada incluye:
- el número de identificación del terminal de navegación GPS del vehículo,
- el número de chasis y
- información de ubicación del vehículo con datos de tiempo.
Si bien no hay evidencia de que los datos hayan sido mal utilizados, los usuarios no autorizados podrían haber accedido a los datos históricos y posiblemente a la ubicación en tiempo real de 2,15 millones de automóviles Toyota.
Es importante tener en cuenta que los detalles expuestos no constituyen información de identificación personal, por lo que no sería posible usar esta fuga de datos para rastrear a las personas a menos que el atacante supiera el VIN (número de identificación del vehículo) del automóvil de su objetivo.
Se puede acceder fácilmente al VIN de un automóvil, también conocido como número de chasis, por lo que, en teoría, alguien con suficiente motivación y acceso físico al automóvil de un objetivo podría haber explotado la fuga de datos de una década para el seguimiento de la ubicación.
Una segunda declaración de Toyota publicada en el sitio japonés ‘Toyota Connected’ también menciona la posibilidad de que las grabaciones de video tomadas fuera del vehículo hayan sido expuestas en este incidente.
¡La solución de evaluación de vulnerabilidades más confiable que ahora incluye infraestructura como código (IaC) y evaluación de superficie de ataque externa!
Conocer..
El período de exposición de estas grabaciones se definió entre el 14 de noviembre de 2016 y el 4 de abril de 2023, que es de casi siete años.
Nuevamente, la exposición de estos videos no afectaría gravemente la privacidad de los propietarios de automóviles, pero esto depende de las condiciones, el tiempo y la ubicación.
Toyota ha prometido enviar avisos de disculpa individuales a los clientes afectados y establecer un centro de llamadas dedicado para atender sus consultas y solicitudes.
En octubre de 2022, Toyota informó a sus clientes sobre otra filtración de datos prolongada como resultado de la exposición de una clave de acceso a la base de datos de clientes de T-Connect en un repositorio público de GitHub.
Esto permitió a un tercero no autorizado acceder a los detalles de 296 019 clientes entre diciembre de 2017 y el 15 de septiembre de 2022, cuando se restringió el acceso externo no autorizado al repositorio de GitHub.
Fuente: bleepingcomputer
