Gepubliceerd op: 12 oktober 2022

Toyota Motor Corporation waarschuwde vorige week dat de persoonlijke informatie van klanten mogelijk openbaar is gemaakt nadat een toegangssleutel bijna vijf jaar openbaar beschikbaar was op GitHub.

Toyota ontdekte onlangs dat een deel van de broncode van de T-Connect-site per ongeluk op GitHub was gepubliceerd en een toegangssleutel bevatte tot de gegevensserver die e-mailadressen en managementnummers van klanten opsloeg.

T-Connect is de officiële connectiviteitsapp van de Japanse autofabrikant waarmee eigenaren van Toyota-voertuigen hun smartphone kunnen koppelen aan het voertuigsysteem voor telefoongesprekken, muziek, navigatie, integratie van meldingen, rijgegevens, motorstatus, brandstofverbruik en meer.

Deze onbedoelde publicatie op GitHub maakte het mogelijk voor een onbevoegde derde partij om toegang te krijgen tot de gegevens van 296,019 klanten tussen december 2017 en 15 september 2022, toen de toegang tot de GitHub-repository werd beperkt.

Op 17 september 2022 wijzigde Toyota de sleutels van de database en elimineerde alle mogelijke toegang van onbevoegde derden.

Echter, de Japanse autofabrikant aankondiging vorige week legde uit dat de namen van klanten, creditcardgegevens en telefoonnummers niet werden gecompromitteerd omdat ze niet waren opgeslagen in de blootgestelde database.

Hoewel Toyota een ontwikkelingsonderaannemer de schuld gaf van de fout, erkende het zijn verantwoordelijkheid voor het verkeerd omgaan met klantgegevens en verontschuldigde het zich voor het veroorzaakte ongemak.

De automaker concludeerde dat hoewel er geen tekenen waren van verduistering van gegevens, het nog steeds niet kon uitsluiten dat iemand toegang heeft tot de gegevens en deze kan stelen.

“Als resultaat van een onderzoek door beveiligingsexperts, hoewel we toegang door een derde partij niet kunnen bevestigen op basis van de toegangsgeschiedenis van de dataserver waar het e-mailadres van de klant en het klantbeheernummer zijn opgeslagen, kunnen we tegelijkertijd niet volledig ontkennen het”, voegde Toyota toe in zijn bericht (vertaald).

Dat gezegd hebbende, werden alle gebruikers van T-Connect die zich tussen juli 2017 en september 2022 registreerden, geadviseerd alert te blijven op Phishing oplichting en om te voorkomen dat e-mailbijlagen worden geopend van onbekende afzenders die beweren van Toyota te zijn.