前情回顾·数据泄露狂潮

安全内参5月15日消息,丰田汽车公司披露了一起云环境数据暴露事件,从2013年11月6日至2023年4月17日十年间,共有215万客户的车辆位置信息持续暴露。

根据丰田公司日本新闻编辑室发布的安全通告,此次事件是因为数据库配置错误,任何人无需密码即可访问泄露内容。

通告称,“由于云环境配置错误,丰田汽车公司委托丰田互联公司管理的部分数据已被公开。”

“发现该事件后,我们已采取措施防止外部访问,目前仍在继续开展调查,包括由丰田互联公司管理的所有云环境。对于给我们客户和相关方造成的极大不便和担忧,我们深表歉意。”

暴露信息包括车辆位置及视频

此次事件暴露了2012年1月2日至2023年4月17日期间,使用丰田T-Coneect G-Link、G-Link Lite及G-BOOK服务的客户信息。

T-Connect是丰田公司的车载智能服务,包括语音辅助、客户服务支持、汽车状态与管理,以及道路紧急救援等功能。

数据库配置错误所暴露的具体信息涵盖:

  • 车载GPS导航终端ID号;

  • 车架编号;

  • 带有时间数据的车辆位置信息。

尽管没有证据表明数据被滥用,但未经授权的用户可能已经访问到这批历史数据,从而掌握215万辆丰田汽车的实时位置。

值得注意的是,暴露的详细信息中不涉及个人身份信息,因此除非攻击者知晓目标车辆的VIN(车辆识别码),否则无法使用此数据来跟踪具体个人。

汽车的VIN码也称车架号,获取难度并不算高,因此理论上具有恶意动机并能够物理接触目标车辆的人,完全可以利用这十年间的暴露数据实现车辆跟踪。

丰田在“Toyota Connected”网站上发布的第二份声明,还提到车外拍摄的视频记录在此次事件中暴露的可能性。

视频记录的潜在暴露周期在2016年11月14日至2023年4月4日,前后持续近七年。

同样,这些视频的暴露不会严重影响车主隐私,但实际后果仍取决于条件、时间和地点等因素。

丰田公司承诺向受到影响的客户单独发送致歉通知,并设立专门的呼叫中心来处理这部分车主的查询和请求。

2022年10月,丰田曾就另一起长期数据暴露事件向客户发出通报,原因是其在公共GitHub库上公开了T-Connect客户数据库的访问密钥。

受到该起事件影响的客户总计29.6019万名,在丰田公司阻断对相关GitHub库的外部未授权访问后,事件周期最终定格在了2017年12月至2022年9月15日。

参考资料:https://www.bleepingcomputer.com/news/security/toyota-car-location-data-of-2-million-customers-exposed-for-ten-years/

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。