丰田发生大规模数据泄露,波及200万车主
丰田汽车公司上周末披露了其云环境中长达十年的大规模数据泄露事件:从2013年11月6日到2023年4月17日暴露了215万车主的汽车位置信息。
根据该丰田公司发布的安全通知,数据泄露是由于数据库配置错误导致任何人无需密码即可访问其内容。
“发现丰田汽车公司委托丰田互联公司管理的部分数据由于云环境配置错误而被公开,”通知中写道(机器翻译):“在发现此事后,我们已采取措施阻止外部访问,但我们仍在继续进行调查,包括TC管理的所有云环境。对于给我们的客户和相关方造成极大的不便和担忧,我们深表歉意。”
暴露信息可被用于跟踪用户
该事件暴露了2012年1月2日至2023年4月17日期间使用该公司T-Connect G-Link、G-Link Lite或G-BOOK服务的客户信息。
T-Connect是丰田的车载智能服务,用于语音辅助、客户服务支持、汽车状态和管理以及道路紧急帮助。
错误配置的数据库暴露的信息包括:
- 车载GPS导航终端ID号
- 底盘号
- 带有时间数据的车辆位置信息
虽然没有证据表明数据被滥用,但未经授权的用户可能已经访问了历史数据,并可能访问了215万辆丰田汽车的实时位置。
暴露的信息本身不构成个人身份信息,因此攻击者还需要知道目标汽车的VIN(车辆识别码),才能跟踪个人。
但遗憾的是,汽车的VIN(也称为底盘号)很容易获得,因此理论上攻击者可以利用长达十年的数据泄漏来跟踪目标汽车。
丰田在日本“Toyota Connected”网站上发布的第二份声明披露受影响车辆的行车记录仪视频也存在泄漏可能。这些行车记录仪视频记录的曝光时间范围在2016年11月14日至2023年4月4日之间,将近七年。
丰田承诺向受影响的客户发送单独的道歉通知,并设立一个专门的呼叫中心来处理他们的查询和请求。
2022年10月,丰田通知其客户另一起长时间的数据泄露事件,原因是在公共GitHub存储库上公开泄漏了T-Connect客户数据库访问密钥,使未经授权的第三方能够在2017年12月至2022年9月15日期间访问29.6万名丰田客户的详细信息。
参考链接:
