Repozytorium Toyoty z kluczem dostępowym było publiczne przez 5 lat

Nie tak dawno pisaliśmy o problemie marki Hyundai z ich systemem infotainment, a jeszcze wcześniej o Tesli i okazuje się, że u konkurencji jest podobnie. Toyota Motor Corporation w oświadczeniu na swojej stronie przeprasza i informuje klientów o potencjalnym wycieku danych, a w szczególności adresów e-mail po tym jak przez pięć lat był dostępny na portalu GitHub klucz typu access key. Toyota T-Connect jest aplikacją umożliwiającą parowanie smartfona z systemem infotainment samochodu w celu wykonywania połączeń, odtwarzania muzyki, nawigacji, odbioru powiadomień, statusu silnika i innych. Badacze z Toyoty stwierdzili, że fragment kodu źródłowego z kluczem dostępowym do danych osobowych klientów został przypadkowo opublikowany na platformie GitHub. Do potencjalnego wycieku danych 296 019 klientów mogło dojść w okresie od grudnia 2017 r. do 15 września 2022 r. czyli do momentu, kiedy dostęp do repozytorium został ograniczony oraz klucze zmienione, usuwając potencjalne nieuprawnione dostępy z zewnątrz.

W oświadczeniu jednocześnie czytamy, że dane kart płatniczych, numery telefonów nie zostały naruszone gdyż znajdowały się w innej bazie, do których klucze dostępowe nie były opublikowane. Toyota za możliwy wyciek wini podwykonawcę systemu, ale przyjmuje na siebie odpowiedzialność wydawcy oprogramowania. W podsumowaniu odnajdujemy informację, że nie wiadomo czy do wycieku doszło na podstawie danych z platformy ale producent nie może wykluczyć takiego scenariusza ze względu na rozległy okres ekspozycji klucza w sposób publiczny.

W/w. incydent nie jest odosobnionym przypadkiem i zauważamy, że staje się problemem globalnym firm, które podnajmują zespoły programistów do pracy w wielu projektach jednocześnie. Sam GitHub ogłosił, że od zeszłego roku będzie skanował opublikowany kod pod kątem udostępniania kluczy, haseł itp. z zastrzeżeniem możliwości zablokowania kolejnych commitów zawierających w/w. pola. Jednakże należy wskazać, że w przypadku gdy deweloper używa niestandardowych podejść lub nietypowych tokenów to platforma nie będzie w stanie tego wychwycić.

Właścicielom samochodów marki Toyota zwracamy szczególną uwagę na uwrażliwienie w odbiorze korespondencji e-mail od rzekomego “przedstawiciela Toyoty”, gdyż może to być atak phishingowy w związku z powyższym wyciekiem.

Źródło: https://global.toyota/jp/newsroom/corporate/38095972.html 

~tt