Volt már szó az autógyárakat érintő szivárgó adatokról, A Toyota Motor Corporation nyilvánosságra hozta a több felhőkörnyezetében történt adatvédelmi incidenst is, amely tíz éven keresztül, 2013. november 6. és 2023. április 17. között 2 150 000 ügyfél autóhelyadatait tette hozzáférhetővé.
Az első esetben a vállalat japán hírportálján közzétett biztonsági közlemény szerint az adatvédelmi incidens egy adatbázis rossz konfigurációjából adódott, amely lehetővé tette, hogy bárki jelszó nélkül hozzáférjen a tartalmához:
„Felfedezték, hogy a Toyota Motor Corporation által a Toyota Connected Corporationre bízott adatok egy része a felhőkörnyezet rossz konfigurációja miatt nyilvánosságra került.”
„Az ügy felfedezése után intézkedéseket hoztunk a kívülről történő hozzáférés megakadályozására, de folytatjuk a vizsgálatokat, beleértve a TC által kezelt összes felhőkörnyezetet is. Elnézést kérünk, amiért nagy kellemetlenséget és aggodalmat okozunk ügyfeleinknek és a kapcsolódó feleknek.”
Megismerhető volt az autó helyzete és az autó által készített videók
Az incidens során azon ügyfelek adatai kerültek nyilvánosságra, akik 2012. január 2. és 2023. április 17. között használták a vállalat T-Connect G-Link, G-Link Lite vagy G-BOOK szolgáltatásait. A T-Connect a Toyota autóba épített intelligens szolgáltatása amely lehetőséget nyújt a hangalapú segítségnyújtásra, az ügyfélszolgálati támogatás kéréseére, az autó állapotának lekérdezésére és kezelésére, valamint az útközbeni vészhelyzeti segítségnyújtás kérésére.
A rosszul konfigurált adatbázisban elhelyezett információk a következők:
- a járműbe épített GPS-navigációs terminál azonosítószáma,
- az alvázszám, és
- a jármű helyére vonatkozó információk időadatokkal együtt.
Bár nincs bizonyíték arra, hogy az adatokkal visszaéltek volna, az illetéktelen felhasználók hozzáférhettek a múltbeli adatokhoz és esetleg 2,15 millió Toyota autó valós idejű helyadatokhoz is.
Fontos megjegyezni, hogy a feltárt adatok nem minősülnek személyazonosításra alkalmas információnak, így ezt az adatszivárgást nem lehetett volna felhasználni egyének követésére, hacsak a támadó nem ismeri a célpont autójának járműazonosító számát VIN-számát. Azonban az autó VIN-je, más néven alvázszáma könnyen hozzáférhető (magyaroszágon forgalomba helyezett járművek esetén lekérdezhető a Jármű Szolgáltatási Platformon keresztül is), így valaki, akinek elég motivációja és akár fizikai hozzáférése van a célpont autójához, elméletileg kihasználhatta volna az évtizedes adatszivárgást az adott gépjármű helyének meghatározásra.
Viszont a Toyota Motor Corporation - saját rendszerei közül - két további rosszul konfigurált felhőszolgáltatást is felfedezett, amelyek több mint hét éven át szivárogtatták ki az autótulajdonosok személyes adatait. Ez a felfedezés a japán autógyártó alapos vizsgálata hozta napvilágra a Toyota Connected Corporation által kezelt összes felhőkörnyezetben, miután a fent részletezett, korábban felfedezett egy rosszul konfigurált szervert fedezett fel. A két adatszivárgás eredménye, bár erre nincsen bizonyíték, de akár a személyek követésére is alkalmassá tehette az adatokat lekérő harmadik felet.
„Vizsgálatot végeztünk a TOYOTA Connected Corporation (TC) által kezelt összes felhőkörnyezetre vonatkozóan, Felfedeztük, hogy az ügyféladatokat tartalmazó adatok egy része potenciálisan kívülről is hozzáférhető volt”
- olvasható a Toyota új közleményében.
Az első felhőszolgáltatás 2016 októbere és 2023 májusa között tette hozzáférhetővé a Toyota ázsiai és óceániai ügyfeleinek személyes adatait. Az adatbázis, amelyhez csak a márkakereskedők és a szervizszolgáltatók számára kellett volna elérhetőnek lennie, nyilvánosan hozzáférhetővé tette a következő ügyféladatokat is:
- Cím
- Név
- Telefonszám
- E-mail cím
- Ügyfél-azonosító
- Jármű rendszám
- Járműazonosító szám (VIN)
A japán autógyártó nem tisztázta, hogy hány ügyfelet érintett ez a szivárgás.
A második felhőpéldány, amely 2015. február 9. és 2023. május 12. között szivárogtatta az adatokat, az autók navigációs rendszerével kapcsolatos, kevésbé érzékeny adatokat tartalmazott. Ezek az adatok a járműbe épített eszköz azonosítóját (navigációs terminál), térképadat-frissítéseket és az adatok létrehozásának dátumát (jármű-helymeghatározási adatok nélkül) tartalmazzák körülbelül 260 000 japán ügyfél esetében. Ez a kiszivárgás azokat az ügyfeleket érintette, akik a G-BOOK navigációs rendszerre G-BOOK mX vagy G-BOOK mX Pro készülékkel fizettek elő, valamint néhányan, akik 2015. február 9. és 2022. március 31. között a G-Link / G-Link Lite rendszerre fizettek elő, és a Toyota on Demand szolgáltatásával megújították a térképeket.
Az érintett járművek a Toyota almárkájának, a Lexusnak a modelljeit, és a 2009 és 2015 között értékesített LS, GS, HS, IS, ISF, ISC, LFA, SC, CT és RX modelleket foglalják magukban. A Toyota szerint az adatbejegyzések egy idő után automatikusan törlődtek a felhőkörnyezetből, így egy adott pillanatban korlátozott mennyiségű adat volt kitéve.
A Toyota egy másik, a japán „Toyota Connected” weboldalon közzétett közleménye szintén megemlíti annak lehetőségét, hogy a járművön kívül készült videofelvételek is nyilvánosságra kerülhettek az incidens során. E felvételek publikus elérhetőségének időszakát 2016. november 14. és 2023. április 4. között határozták meg, ami közel hét évet jelent. Ezeknek a videóknak az elérhetősége ismét nem befolyásolná súlyosan az autótulajdonosok magánéletét, de ez a körülményektől, az időponttól és a helyszíntől függhet.
A Toyota ígéretet tett arra, hogy egyéni bocsánatkérő értesítéseket küld az érintett ügyfeleknek, és egy külön call centert hoz létre a kérdéseik és kéréseik kezelésére.
2022 októberében a Toyota tájékoztatta ügyfeleit egy másik hosszasan meglévő adatvédelmi incidensről, amely a T-Connect ügyféladatbázis hozzáférési kulcsának egy nyilvános GitHub-tárban való közzétételéből eredt.
Ez lehetővé tette egy illetéktelen harmadik fél számára, hogy hozzáférjen 296 019 ügyfél adataihoz 2017 decembere és 2022. szeptember 15. között, amikoris a GitHub-tárolóhoz való külső, illetéktelen hozzáférést korlátozták.