A Toyota Motor Corporation descobriu dois serviços de nuvem adicionais mal configurados que vazaram informações pessoais de proprietários de carros por mais de sete anos.
Essa descoberta ocorreu depois que a montadora japonesa conduziu uma investigação minuciosa em todos os ambientes de nuvem gerenciados pela Toyota Connected Corporation, após descobrir anteriormente um servidor mal configurado que expôs dados de localização de mais de 2 milhões de clientes por dez anos.
"Fizemos uma investigação para todos os ambientes de nuvem gerenciados pela TOYOTA Connected Corporation (TC).
Descobriu-se que uma parte dos dados contendo informações do cliente havia sido potencialmente acessível externamente", diz o novo aviso da Toyota.
O primeiro serviço de nuvem expôs informações pessoais de clientes da Toyota na Ásia e Oceania entre outubro de 2016 e maio de 2023.
O banco de dados, que deveria ter sido acessível apenas para revendedores e provedores de serviços, foi exposto publicamente, vazando as seguintes informações do cliente:
- Nome
- Endereço
- Número de telefone
- Email
- ID do comprador
- Número de registro do veículo
A montadora japonesa não esclareceu quantos clientes foram impactados por esse vazamento.
A segunda instância de nuvem foi exposta entre 9 de fevereiro de 2015 e 12 de maio de 2023 e continha dados menos sensíveis relacionados aos sistemas de navegação dos carros.
Esses dados incluem o ID do dispositivo no veículo (terminal de navegação), atualizações de dados de mapas e datas de criação de dados (sem dados de localização do veículo) de aproximadamente 260.000 clientes no Japão.
Esse vazamento afetou clientes que se inscreveram no sistema de navegação G-BOOK com G-BOOK mX ou G-BOOK mX Pro e alguns que se inscreveram no G-Link / G-Link Lite e renovaram seus mapas usando o serviço sob demanda da Toyota entre 9 de fevereiro de 2015 e 31 de março de 2022.
Os veículos afetados são modelos da sub-marca da Toyota, Lexus, e incluem carros LS, GS, HS, IS, ISF, ISC, LFA, SC, CT e RX vendidos entre 2009 e 2015.
A Toyota diz que as entradas de dados foram automaticamente excluídas do ambiente de nuvem após um tempo, então houve uma quantidade limitada de dados expostos a qualquer momento.
A montadora afirma que mesmo se os dados fossem acessados externamente, não seria suficiente para inferir detalhes de identificação sobre o cliente ou acessar os sistemas do veículo de qualquer maneira.
A Toyota diz que implementou um sistema que monitora regularmente as configurações de nuvem e as configurações de banco de dados em todos os seus ambientes para evitar esse tipo de vazamento no futuro.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...