Аўтамабілебудаўнічая карпарацыя Toyota раскрыла звесткі аб магчымай уцечцы базы карыстальнікаў мабільнага прыкладання T-Connect, які дазваляе інтэграваць свой смартфон з інфармацыйнай сістэмай аўтамабіля. Інцыдэнт выкліканы публікацыяй на GitHub часткі зыходных тэкстаў сайта T-Connect, у якіх апынуўся ключ доступу да сервера, які захоўвае персанальныя дадзеныя кліентаў. Код памылкова быў апублікаваны ў публічным рэпазітары ў 2017 годзе і да сярэдзіны верасня 2022 года ўцечка заставалася незаўважанай.
Выкарыстоўваючы апублікаваны ключ зламыснікі маглі атрымаць доступ да базы дадзеных, утрымоўвальнай email-адрасы і кіравальныя коды больш за 269 тысяч карыстачоў прыкладання T-Connect. Разбор сітуацыі паказаў, што прычынай уцечкі стала памылка субпадрадчыка, які займаўся распрацоўкай сайта T-Connect. Сцвярджаецца, што слядоў несанкцыянаванага выкарыстання размешчанага ў адкрытым доступе ключа не выяўлена, але кампанія не можа цалкам выключыць трапленне змесціва БД у рукі старонніх. Пасля выяўлення праблемы 17 верасня скампраметаваны ключ быў заменены на новы.
Крыніца: opennet.ru