近30万丰田车主数据疑遭泄露
近日丰田汽车公司警告说,因数据库访问密钥在GitHub上公开暴露近五年,其客户的个人信息可能已经泄露。
发生数据泄露的T-Connect是丰田的官方移动应用程序,丰田车主可通过这个应用将智能手机与车辆信息娱乐系统连接起来,用于电话、音乐、导航、通知集成,以及显示驾驶数据、发动机状态、油耗等信息。
访问密钥在GitHub暴露五年
丰田最近发现,T-Connect网站源代码的一部分被错误地发布在GitHub上,其中包含存储客户电子邮件地址和管理号码的数据服务器的访问密钥。
这使未经授权的第三方可以在2017年12月至2022年9月15日期间访问296,019名客户的详细信息。直到2022年9月17日,丰田才更改了数据库的密钥,清除了未经授权的第三方的所有潜在访问权限。
丰田的公告解释说,客户姓名、信用卡数据和电话号码没有被泄露,因为它们没有存储在暴露的数据库中。
丰田将此错误归咎于开发分包商,但承认其对客户数据处理不当的责任,并对造成的任何不便表示歉意。
丰田公司得出的结论是,虽然没有数据被盗用的迹象,但不能排除有人访问和窃取数据的可能性。丰田建议所有在2017年7月至2022年9月期间注册的T-Connect用户对网络钓鱼诈骗保持警惕,并避免打开声称来自丰田的未知发件人的电子邮件附件。
常被忽视的代码“脱敏”
类似丰田移动应用程序数据泄露的安全事件近年来频频发生,已成为一个大规模问题,导致大量消费者敏感数据面临暴露风险。
9月,赛门铁克的安全分析师公布,近2000个iOS和Android应用程序的代码中包含硬编码的AWS凭证。
这通常是开发人员疏忽的结果,将凭据存储在代码中,以便在测试多个应用迭代时快速轻松地获取资产、服务访问和配置更新。
当软件准备好进行实际部署时,开发者应该删除这些凭据,但不幸的是,正如T-Connect应用程序数据泄露所验证的,这项工作经常会被疏忽。
由于代码中包含敏感信息的安全问题层出不穷,GitHub已开始扫描已发布的代码以查找机密信息并阻止包含身份验证密钥的代码提交,以更好地保护项目。
但是,如果开发人员使用非标准访问密钥或自定义令牌,GitHub的默认设置将无法检测到它们。
参考链接:
