泄露用戶信息長達一年半，豐田被服務商坑慘了

全球知名汽車制造公司豐田（TOYOTA）遭遇了嚴重的用戶信息泄露事件。安全研究人員發現，黑客通過攻擊豐田意大利數字營銷自動化和分析軟件服務提供商 Salesforce Marketing Cloud，從而獲得了海量的用戶數據，且至今為止數據泄露已有一年半之久。

此外，豐田意大利泄露而來軟件公司 Mapbox 的應用程序編程接口 (API) 令牌，導致敏感數據泄露范圍增大。攻擊者可能會借此獲取豐田意大利用戶的手機號碼和電子郵箱等，并利用這些信息發起網絡釣魚攻擊。

好消息是，截止到發稿時，豐田意大利已經將這些數據再次保護起來，該公司也表示，已經和第三方網絡安全公司合作，采取了額外的措施加強其網絡安全系統和協議。

公開信息顯示，豐田是全球最大的汽車制造商之一，擁有超過37W名員工，去年收入約為2670億美元。僅在歐洲，豐田的雇員就超過了2.5W名，共有八家汽車制造工廠。

目前雖然不清楚豐田意大利的官方數據，但是該公司已經在意大利屹立半個多世紀了，妥妥的老牌企業。根據 Statista 的數據，豐田意大利公司的收入預計到 2023 年將達到約18億美元，汽車銷量預計將接近8.3w輛。

偶然發現數據被公開

2023年2月14日，Cybernews的安全研究團隊在豐田意大利官方網站上發現了一個環境文件(.env)。而該環境文件于2021 年 5 月 21 日首次被物聯網 (IoT) 搜索引擎編入索引，這意味著很多人都可以進行公開訪問。

根據 Cybernews 研究團隊的說法，該環境文件泄露的原因是，豐田意大利數字營銷自動化和分析軟件服務提供商 Salesforce Marketing Cloud公開了用戶賬戶憑證訪問權限。黑客獲取了Salesforce Marketing Cloud公司的權限，并借此訪問豐田意大利用戶的賬戶憑證。

通過賬戶憑證，攻擊者順勢訪問到了用戶的電話號碼、電子郵件地址、客戶跟蹤信息以及電子郵件、短信和推送通知內容。同時這些憑據可以進一步被用來發送虛假的SMS消息、電子郵件、編輯&啟動營銷活動、創建自動化腳本、編輯與 Salesforce 營銷云相關的內容，甚至向豐田的客戶發送推送通知。

Cybernews 安全研究人員稱，此次敏感數據泄露事件對于豐田意大利來說十分嚴重，這些信息完全可以被用來發起一些復雜的網絡釣魚攻擊，攻擊者可以訪問和控制豐田的官方通信渠道，從而使受害者更容易落入此類釣魚攻擊中，因為發件人的信息是被冒充的豐田意大利官方。

此外，豐田意大利還泄露了軟件公司 Mapbox 的應用程序編程接口 (API) 令牌。雖然這部分數據不像 Salesforce Marketing Cloud 賬號憑證那么敏感，但是攻擊者可能會濫用它來查詢大量請求并增加豐田 API 使用的成本。

豐田官方回應

Cybernews 將此漏洞告知豐田后，該公司立即采取了必要的措施來進行補救。據豐田公司稱，此次安全事件的出現，是對方未能遵守公司的數據安全政策造成的。

目前豐田公司已經采取了一套額外的安全措施來恢復和加強網絡安全系統和協議，并及時向意大利有關當局報告了隱私數據暴露的風險，全力配合正在進行的調查。

豐田公司進一步表示，豐田非常認真地對待此次事件，也非常重視網絡安全建設，我們將借此機會從調查結果中吸取教訓，進一步提升網絡安全防護能力以及協議的安全性，防止再次出現此類安全事件。

目前尚不清楚攻擊者具體訪問了哪些數據，但豐田公司建議用戶高度警惕網絡釣魚攻擊，及時更換賬號密碼，以確保個人信息安全。

豐田公司稱：“騙子可能會試圖向您發送冒充豐田或任何其他流行品牌的虛假消息，因此請確保通過啟用多因素身份驗證 (MFA) 來保護您的電子郵件地址。小心電子郵件，不要點擊鏈接或提供任何個人信息。如果您發現電子郵件可疑，請將其報告給您的提供商。

當涉及到電話號碼時，您可能會受到垃圾/營銷/釣魚短信的轟炸，甚至會發現自己成為 SIM 交換攻擊的受害者，攻擊者部署該攻擊以獲取對基于 SMS MFA 代碼的訪問權限。”

這不是豐田第一次在網上公開其數據并將自身和客戶置于風險之中。

2022年，豐田公司近30萬用戶數據被泄露，包括電子郵件地址和客戶管理號碼。開發人員在 GitHub 上發布源代碼后，通過其客戶應用程序 T-Connect 公開的數據已經泄露了五年。

2023年 1 月，豐田汽車在印度的業務也曝出信息泄露事件，部分用戶的個人信息很有可能已經被攻擊者獲取。