Toyota tiết lộ dữ liệu rò rỉ sau khi khóa truy cập bị lộ trên GitHub

Toyota T-Connect là ứng dụng kết nối chính thức của nhà sản xuất ô tô cho phép chủ sở hữu xe Toyota liên kết điện thoại thông minh của họ với hệ thống thông tin giải trí của xe để gọi điện, nghe nhạc, điều hướng, tích hợp thông báo, dữ liệu lái xe, tình trạng động cơ, mức tiêu thụ nhiên liệu và hơn thế nữa.

Gần đây, Toyota đã phát hiện ra rằng một phần mã nguồn của trang T-Connect đã bị công bố nhầm trên GitHub và chứa khóa truy cập vào máy chủ dữ liệu lưu trữ địa chỉ email và số quản lý của khách hàng.

Điều này khiến bên thứ ba trái phép có thể truy cập thông tin chi tiết của 296.019 khách hàng trong khoảng thời gian từ tháng 12 năm 2017 đến ngày 15 tháng 9 năm 2022, khi quyền truy cập vào kho lưu trữ GitHub bị hạn chế.

Vào ngày 17 tháng 9 năm 2022, các khóa của cơ sở dữ liệu đã được thay đổi, loại bỏ tất cả các truy cập tiềm năng từ các bên thứ ba trái phép.

Thông báo giải thích rằng tên khách hàng, dữ liệu thẻ tín dụng và số điện thoại không bị xâm phạm vì chúng không được lưu trữ trong cơ sở dữ liệu bị lộ.

Toyota đã đổ lỗi cho một nhà thầu phụ phát triển về lỗi nhưng đã thừa nhận trách nhiệm của mình đối với việc xử lý sai dữ liệu khách hàng và xin lỗi vì bất kỳ sự bất tiện nào gây ra.

Nhà sản xuất ô tô Nhật Bản kết luận rằng tuy không có dấu hiệu chiếm đoạt dữ liệu nhưng không thể loại trừ khả năng ai đó đã truy cập và đánh cắp dữ liệu.

"Theo kết quả điều tra của các chuyên gia bảo mật, mặc dù chúng tôi không thể xác nhận quyền truy cập của bên thứ ba dựa trên lịch sử truy cập của máy chủ dữ liệu nơi lưu trữ địa chỉ email của khách hàng và số quản lý khách hàng, đồng thời, chúng tôi không thể phủ nhận hoàn toàn khả năng này, ”- giải thích thông báo của họ (máy dịch).

Vì lý do này, tất cả người dùng T-Connect đã đăng ký trong khoảng thời gian từ tháng 7 năm 2017 đến tháng 9 năm 2022 được khuyến cáo nên cảnh giác trước các âm mưu lừa đảo và tránh mở tệp đính kèm email từ những người gửi không xác định tự xưng là thuộc Toyota.

Quên mật khẩu trong mã code

Loại sự cố bảo mật này đã trở thành một vấn đề quy mô lớn khiến hàng loạt dữ liệu nhạy cảm có nguy cơ bị lộ.

Vào tháng 9, các nhà phân tích bảo mật của Symantec đã tiết lộ rằng gần 2.000 ứng dụng dành cho iOS và Android có chứa thông tin đăng nhập AWS được mã hóa cứng trong mã của họ.

Đây thường là kết quả của sự sơ suất của nhà phát triển, lưu trữ thông tin xác thực trong mã để giúp tìm nạp nội dung, truy cập dịch vụ và cập nhật cấu hình nhanh chóng và dễ dàng trong khi thử nghiệm nhiều lần lặp lại ứng dụng.

Những thông tin xác thực này sẽ được xóa khi phần mềm đã sẵn sàng để triển khai thực tế, nhưng thật không may, như trường hợp của ứng dụng T-Connect cho thấy, điều này không phải lúc nào cũng được thực hiện.

Do sự cố đang diễn ra này, GitHub đã bắt đầu quét mã đã công khai để tìm bí mật và chặn các cam kết mã có chứa khóa xác thực để bảo mật các dự án tốt hơn.

Tuy nhiên, nếu nhà phát triển sử dụng khóa truy cập không chuẩn hoặc mã thông báo tùy chỉnh, GitHub sẽ không thể phát hiện chúng theo mặc định.