Японский автопроизводитель Toyota предупредил клиентов о том, что их персональные данные могли быть скомпрометированы в результате ошибки одного из разработчиков. Нарушение могло привести к тому, что персональные данные стали доступны третьим лицам.
В заявлении на своем официальном сайте Toyota подчеркнула, что были скомпрометированы электронные адреса и контрольные клиентские номера более 296 тыс. клиентов, которые с июля 2017 г. использовали T-Connect – телематическую службу для связи автомобилей через Сеть.
Как отмечают представители автопроизводителя, нет никаких доказательств того, что данные были доступны третьей стороне после анализа истории доступа к серверу хранения, но «этого нельзя исключать».
Утечка была вызвана тем, что часть исходного кода сайта T-Connect подрядчик по ошибке загрузил на открытый репозиторий GitHub. При этом конфиденциальная информация оставалась в открытом доступе без малого пять лет – с декабря 2017 г. по сентябрь 2022 г. Скомпрометированный исходный код содержал такую конфиденциальную информацию, как ключ доступа к серверу данных T-Connect, на котором можно было найти электронные адреса и контрольные номера клиентов.
Согласно заявлению Toyota, в середине сентября были предприняты немедленные меры по обеспечению конфиденциальности выявленного исходного кода.
Пострадавших клиентов компания предупреждает о возможных фишинговых атаках. В частности, жертвам утечки советуют не открывать электронные письма от неизвестных отправителей и быть особенно осторожными при переходе по URL-адресам из писем.
Источник: InfoSecurity Magazine.