Toyota Motor Corporation advierte que la información personal de los clientes puede haber quedado expuesta después de que una clave de acceso estuvo disponible públicamente en GitHub durante casi cinco años.
Toyota T-Connect es la aplicación de conectividad oficial del fabricante de automóviles que permite a los propietarios de automóviles Toyota vincular su teléfono inteligente con el sistema de información y entretenimiento del vehículo para llamadas telefónicas, música, navegación, integración de notificaciones, datos de conducción, estado del motor, consumo de combustible y más.
Toyota descubrió recientemente que una parte del código fuente del sitio T-Connect se publicó por error en GitHub y contenía una clave de acceso al servidor de datos que almacenaba las direcciones de correo electrónico y los números de gestión de los clientes.
Esto hizo posible que un tercero no autorizado accediera a los datos de 296.019 clientes entre diciembre de 2017 y el 15 de septiembre de 2022, cuando se restringió el acceso al repositorio de GitHub.
El 17 de septiembre de 2022, se cambiaron las claves de la base de datos, purgando todo acceso potencial de terceros no autorizados.
El anuncio explica que los nombres de los clientes, los datos de las tarjetas de crédito y los números de teléfono no se han visto comprometidos, ya que no se almacenaron en la base de datos expuesta.
Toyota culpó a un subcontratista de desarrollo por el error, pero reconoció su responsabilidad por el mal manejo de los datos de los clientes y se disculpó por las molestias causadas.
El fabricante de automóviles japonés concluye que, si bien no hay signos de apropiación indebida de datos, no puede descartar la posibilidad de que alguien haya accedido y robado los datos.
“Como resultado de una investigación realizada por expertos en seguridad, aunque no podemos confirmar el acceso de un tercero en función del historial de acceso del servidor de datos donde se almacenan la dirección de correo electrónico y el número de gestión del cliente del cliente, al mismo tiempo, no podemos negar por completo it,” – explica el aviso (traducido automáticamente).
Por este motivo, se recomienda a todos los usuarios de T-Connect que se registraron entre julio de 2017 y septiembre de 2022 que estén atentos a las estafas de phishing y eviten abrir archivos adjuntos de correo electrónico de remitentes desconocidos que afirman ser de Toyota.
Estas credenciales deben eliminarse cuando el software esté listo para la implementación real, pero desafortunadamente, como muestra el caso de la aplicación T-Connect, esto no siempre se hace.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad