安全內參5月15日消息,豐田汽車公司披露了一起云環境數據暴露事件,從2013年11月6日至2023年4月17日十年間,共有215萬客戶的車輛位置信息持續暴露。

根據豐田公司日本新聞編輯室發布的安全通告,此次事件是因為數據庫配置錯誤,任何人無需密碼即可訪問泄露內容。

通告稱,“由于云環境配置錯誤,豐田汽車公司委托豐田互聯公司管理的部分數據已被公開。”

“發現該事件后,我們已采取措施防止外部訪問,目前仍在繼續開展調查,包括由豐田互聯公司管理的所有云環境。對于給我們客戶和相關方造成的極大不便和擔憂,我們深表歉意。”

暴露信息包括車輛位置及視頻

此次事件暴露了2012年1月2日至2023年4月17日期間,使用豐田T-Coneect G-Link、G-Link Lite及G-BOOK服務的客戶信息。

T-Connect是豐田公司的車載智能服務,包括語音輔助、客戶服務支持、汽車狀態與管理,以及道路緊急救援等功能。

數據庫配置錯誤所暴露的具體信息涵蓋:

  • 車載GPS導航終端ID號;
  • 車架編號;
  • 帶有時間數據的車輛位置信息。

盡管沒有證據表明數據被濫用,但未經授權的用戶可能已經訪問到這批歷史數據,從而掌握215萬輛豐田汽車的實時位置。

值得注意的是,暴露的詳細信息中不涉及個人身份信息,因此除非攻擊者知曉目標車輛的VIN(車輛識別碼),否則無法使用此數據來跟蹤具體個人。

汽車的VIN碼也稱車架號,獲取難度并不算高,因此理論上具有惡意動機并能夠物理接觸目標車輛的人,完全可以利用這十年間的暴露數據實現車輛跟蹤。

豐田在“Toyota Connected”網站上發布的第二份聲明,還提到車外拍攝的視頻記錄在此次事件中暴露的可能性。

視頻記錄的潛在暴露周期在2016年11月14日至2023年4月4日,前后持續近七年。

同樣,這些視頻的暴露不會嚴重影響車主隱私,但實際后果仍取決于條件、時間和地點等因素。

豐田公司承諾向受到影響的客戶單獨發送致歉通知,并設立專門的呼叫中心來處理這部分車主的查詢和請求。

2022年10月,豐田曾就另一起長期數據暴露事件向客戶發出通報,原因是其在公共GitHub庫上公開了T-Connect客戶數據庫的訪問密鑰。

受到該起事件影響的客戶總計29.6019萬名,在豐田公司阻斷對相關GitHub庫的外部未授權訪問后,事件周期最終定格在了2017年12月至2022年9月15日。

汽車 豐田 日本汽車
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接