Спецпроекты

Безопасность Бизнес Техника

Данные миллионов клиентов Toyota десять лет лежали в общем доступе

Toyota признала, что из-за ошибки в настройках облачного ресурса данные двух миллионов автомобилей оставались общедоступными в течение очень длительного срока. Воспользоваться ими для причинения вреда было бы, впрочем, проблемой.

2,15 млн автомобилей

Данные более двух миллионов владельцев автомобилей Toyota лежали на общедоступном облачном ресурсе в течение десяти лет. Toyota признала этот факт лишь на днях, после того как перекрыла доступ к облаку 17 апреля 2023 г.

Согласно публикации на сайте Toyota, причиной инцидента стали неправильные настройки ресурса, позволявшие любому получить к нему доступ без пароля.

Инцидент затронул владельцев автомобилей Toyota, которые пользовались рядом ее сетевых сервисов, в частности T-Connect G-Link, G-Link Lite и G-Book, в период между январем 2012 г. и 17 апреля 2023 г.

T-Connect — это внутренний сервис смарткаров Toyota, используемый для голосовых подсказок, связи со службой поддержки, определения состояния автомобиля и вызова срочной помощи в дороге.

toyota_700.jpg
Фото: Toyota
Toyota халатно отнеслась к данным миллионов клиентов

В общедоступной базе хранились идентификаторы GPS-терминалов, номера шасси и сведения о местоположении транспортного средства с привязкой ко времени.

И хотя нет признаков тому, что этими данными кто-то воспользовался во вред, в теории уязвимыми оказывались владельцы 2,15 млн автомобилей.

Не слишком конфиденциальная информация

Вся эта информация, впрочем, не относится к идентифицирующей сама по себе. Отслеживать с ее помощью конкретных людей невозможно, если злоумышленник не знает идентификационный номер конкретного автомобиля (номер шасси) или знает его, но не обладает физическим доступом к машине потенциальной жертвы.

В теории этими данными можно было бы воспользоваться только для того, чтобы отслеживать прошлые перемещения жертв.

Однако в публикации Toyota указывается, что некоторые видеозаписи, сделанные вне транспортных средств между 14 ноября 2016 г. и 4 апреля 2023 г., также могли утечь. И хотя само по себе это также едва ли нарушает приватность водителей, все зависит от условий, времени и местоположения записей.

В любом случае Toyota обещает разослать письменные извинения всем, кого данная утечка могла затронуть, и запустить специализированный call-центр для обращений по поводу этого инцидента.

«Угроза, проистекающая из этой утечки, в сущности, является чисто теоретической, даже несмотря на огромный временной промежуток, когда данные были доступны, — считает Никита Павлов, эксперт по информационной безопасности компании SEQ. — Однако на репутации Toyota и ее рыночных показателях она скажется, как и любое другое проявление неадекватности в работе с личными данными.

В октябре 2022 г. Toyota оповестила своих клиентов о еще одном сходном инциденте: между декабрем 2017 г. и сентябрем 2022 г. в общедоступном репозитории GitHub лежали данные о 296 тыс. клиентах компании, а также порция исходников сервиса T-Connect вместе с ключами доступа к серверу данных.

Роман Георгиев

Короткая ссылка