日本汽车巨头丰田警告称,近30万名客户的个人信息可能已被泄露,此前,GitHub上的一个访问密钥已公开近5年。
丰田在其网站上的一份声明中表示,自2017年7月以来,29万多名使用T-Connect的用户的电子邮件地址和客户控制号被曝光。T-Connect是一种通过网络连接车辆的远程信息服务。
该公司补充说,虽然在分析了数据服务器的访问历史后,没有证据表明数据是由第三方访问的,但不能完全排除这种可能性。
现代汽车向顾客保证,不会泄露姓名、电话号码、信用卡等T-Connect服务本身的信息。此外,雷克萨斯G-Link/G-Link Lite和MyTOYOTA/My TOYOTA+应用程序的用户数据没有受到影响,因为这些数据存储在单独的地方。
此次泄露的原因是,网站开发承包商错误地将T-Connect网站的部分源代码上传到GitHub上,从2017年12月到2022年9月15日,该源代码在GitHub上保留了近5年。该源代码包含T-Connect数据服务器的访问密钥,它提供了访问用户电子邮件地址和客户控制号码的权限。
丰田表示:“在发现后,公司立即采取行动,将源代码保密,9月17日,我们采取了更改数据服务器访问密钥等措施,目前尚未确认二次损坏。”
该公司警告受影响的客户要警惕可能因泄露而产生的钓鱼邮件。它建议他们不要打开任何他们不认识发件人的邮件,并在访问邮件中描述的URL地址时要小心。
在丰田发布上述声明之前,最近发生了多起源代码盗窃案件,使受影响的组织面临重大安全风险。这些公司包括科技巨头英特尔、密码管理公司LastPass和游戏开发商Rockstar Games。
Barrier Networks的CISO管理人员Jordan Schroeder在评论这一事件时说:“这些类型的安全开发错误困扰着当今的组织,在攻击者发现错误并破坏系统和数据后,是他们的客户付出了代价。”
他说:“企业必须在源代码控制和秘密管理(比如访问密钥)方面做得更好,因为这些数据很有可能已经被攻击者访问过,而丰田可能永远都无法确定。”
2022年3月,丰田在日本的一家主要供应商遭到勒索软件攻击后,被迫停止了所有工厂的生产。