Toyota: Localização de veículos de 2 milhões de clientes foram expostos por dez anos
15 de Maio de 2023

A Toyota Motor Corporation divulgou uma violação de dados em seu ambiente de nuvem que expôs as informações de localização de carros de 2.150.000 clientes por dez anos, entre 6 de novembro de 2013 e 17 de abril de 2023.

De acordo com um aviso de segurança publicado no site de notícias da empresa no Japão, a violação de dados resultou de uma configuração incorreta do banco de dados que permitiu que qualquer pessoa acessasse seu conteúdo sem uma senha.

"Foi descoberto que parte dos dados confiados pela Toyota Motor Corporation à Toyota Connected Corporation para gerenciar havia sido tornada pública devido a uma configuração incorreta do ambiente de nuvem", diz o aviso.

"Após a descoberta deste assunto, implementamos medidas para bloquear o acesso de fora, mas continuamos a realizar investigações, incluindo todos os ambientes de nuvem gerenciados pela TC.

Pedimos desculpas por causar grande inconveniente e preocupação aos nossos clientes e partes relacionadas."

Este incidente expôs as informações de clientes que usaram os serviços T-Connect G-Link, G-Link Lite ou G-BOOK da empresa entre 2 de janeiro de 2012 e 17 de abril de 2023.

O T-Connect é o serviço inteligente de carro da Toyota para assistência por voz, suporte de atendimento ao cliente, gerenciamento de status e de carro e ajuda de emergência na estrada.

As informações expostas no banco de dados mal configurado incluem:
Embora não haja evidências de que os dados tenham sido mal utilizados, usuários não autorizados poderiam ter acessado os dados históricos e possivelmente a localização em tempo real de 2,15 milhões de carros Toyota.

É importante notar que os detalhes expostos não constituem informações de identificação pessoal, portanto, não seria possível usar esse vazamento de dados para rastrear indivíduos, a menos que o atacante conhecesse o número de identificação do veículo (VIN) do carro de seu alvo.

O VIN de um carro, também conhecido como número de chassi, é facilmente acessível, então alguém com motivação suficiente e acesso físico ao carro de um alvo poderia teoricamente ter explorado o vazamento de dados de uma década para rastreamento de localização.

Uma segunda declaração da Toyota publicada no site 'Toyota Connected' no Japão também menciona a possibilidade de gravações de vídeo feitas fora do veículo terem sido expostas neste incidente.
O período de exposição para essas gravações foi definido entre 14 de novembro de 2016 e 4 de abril de 2023, que é quase sete anos.

Novamente, a exposição desses vídeos não afetaria gravemente a privacidade dos proprietários de carros, mas isso depende das condições, horário e local.

A Toyota prometeu enviar avisos de desculpas individuais aos clientes afetados e criar um centro de atendimento dedicado para lidar com suas consultas e solicitações.

Em outubro de 2022, a Toyota informou seus clientes sobre outra extensa violação de dados resultante da exposição de uma chave de acesso ao banco de dados de clientes T-Connect em um repositório público do GitHub.

Isso permitiu que um terceiro não autorizado acessasse os detalhes de 296.019 clientes entre dezembro de 2017 e 15 de setembro de 2022, quando o acesso externo não autorizado ao repositório do GitHub foi restrito.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...