Toyota: ключ доступа к системе T-Connect находился на GitHub пять лет

Toyota предупредила клиентов, что их личная информация могла быть раскрыта после того, как ключ доступа к системе T-Connect «пролежал» на GitHub в течение почти пяти лет.

7ec46e8a4743baef21acfd1b3f4c0a87.jpg

Toyota T-Connect — это официальное приложение автопроизводителя, которое позволяет владельцам автомобилей связать свой смартфон с информационно-развлекательной системой для телефонных звонков, музыки, навигации, интеграции уведомлений, данных о вождении, состояния двигателя, расхода топлива и многого другого.

Ранее Toyota обнаружила, что часть исходного кода сайта T-Connect была ошибочно опубликована на GitHub и содержала ключ доступа к серверу данных, на котором хранились адреса электронной почты клиентов и номера менеджеров. 

Это позволило неавторизованной третьей стороне получить доступ к данным 296 019 клиентов в период с декабря 2017 года по 15 сентября 2022 года, а затем доступ к репозиторию GitHub был ограничен. Компания пояснила, что имена клиентов, данные кредитных карт и номера телефонов не были скомпрометированы, поскольку они не хранились в открытой базе данных.

17 сентября 2022 года ключи базы данных были изменены, что исключило возможность любого несанкционированного доступа.

Toyota обвинила в ошибке субподрядчика по разработке, но признала свою ответственность за неправильное обращение с данными клиентов и принесла извинения за доставленные неудобства.

Японский автопроизводитель не может исключить возможность того, что кто-то получил доступ и украл данные.

«В результате расследования экспертов по безопасности мы не можем подтвердить доступ третьей стороны на основании истории доступа к серверу данных, где хранятся адреса электронной почты и номера менеджеров, но в то же время мы не можем полностью отрицать это», — поясняется в уведомлении.

По этой причине всем пользователям T-Connect, зарегистрировавшимся в период с июля 2017 года по сентябрь 2022 года, рекомендуется проявлять бдительность в отношении фишинга и не открывать вложения электронной почты от неизвестных отправителей.

GitHub, со своей стороны, уже начал сканировать опубликованный код на наличие ключей API и токенов аутентификации и блокировать соответствующие коммиты. Но в случае, если разработчик использует нестандартные ключи доступа или пользовательские токены, GitHub не сможет их обнаружить по умолчанию.

© Habrahabr.ru