Данные миллионов клиентов Toyota десять лет лежали в общем доступе
Toyota признала, что из-за ошибки в настройках облачного ресурса данные двух миллионов автомобилей оставались общедоступными в течение очень длительного срока. Воспользоваться ими для причинения вреда было бы, впрочем, проблемой.
2,15 млн автомобилей
Данные более двух миллионов владельцев автомобилей Toyota лежали на общедоступном облачном ресурсе в течение десяти лет. Toyota признала этот факт лишь на днях, после того как перекрыла доступ к облаку 17 апреля 2023 г.
Согласно публикации на сайте Toyota, причиной инцидента стали неправильные настройки ресурса, позволявшие любому получить к нему доступ без пароля.
Инцидент затронул владельцев автомобилей Toyota, которые пользовались рядом ее сетевых сервисов, в частности T-Connect G-Link, G-Link Lite и G-Book, в период между январем 2012 г. и 17 апреля 2023 г.
T-Connect — это внутренний сервис смарткаров Toyota, используемый для голосовых подсказок, связи со службой поддержки, определения состояния автомобиля и вызова срочной помощи в дороге.
В общедоступной базе хранились идентификаторы GPS-терминалов, номера шасси и сведения о местоположении транспортного средства с привязкой ко времени.
И хотя нет признаков тому, что этими данными кто-то воспользовался во вред, в теории уязвимыми оказывались владельцы 2,15 млн автомобилей.
Не слишком конфиденциальная информация
Вся эта информация, впрочем, не относится к идентифицирующей сама по себе. Отслеживать с ее помощью конкретных людей невозможно, если злоумышленник не знает идентификационный номер конкретного автомобиля (номер шасси) или знает его, но не обладает физическим доступом к машине потенциальной жертвы.
В теории этими данными можно было бы воспользоваться только для того, чтобы отслеживать прошлые перемещения жертв.
Однако в публикации Toyota указывается, что некоторые видеозаписи, сделанные вне транспортных средств между 14 ноября 2016 г. и 4 апреля 2023 г., также могли утечь. И хотя само по себе это также едва ли нарушает приватность водителей, все зависит от условий, времени и местоположения записей.
В любом случае Toyota обещает разослать письменные извинения всем, кого данная утечка могла затронуть, и запустить специализированный call-центр для обращений по поводу этого инцидента.
«Угроза, проистекающая из этой утечки, в сущности, является чисто теоретической, даже несмотря на огромный временной промежуток, когда данные были доступны, — считает Никита Павлов, эксперт по информационной безопасности компании SEQ. — Однако на репутации Toyota и ее рыночных показателях она скажется, как и любое другое проявление неадекватности в работе с личными данными.
В октябре 2022 г. Toyota оповестила своих клиентов о еще одном сходном инциденте: между декабрем 2017 г. и сентябрем 2022 г. в общедоступном репозитории GitHub лежали данные о 296 тыс. клиентах компании, а также порция исходников сервиса T-Connect вместе с ключами доступа к серверу данных.