Mae’r gorfforaeth gweithgynhyrchu ceir Toyota wedi datgelu gwybodaeth am ollyngiad posibl o sylfaen defnyddwyr y cymhwysiad symudol T-Connect, sy’n eich galluogi i integreiddio’ch ffôn clyfar â system wybodaeth y car. Achoswyd y digwyddiad gan gyhoeddiad ar GitHub o ran o destunau ffynhonnell gwefan T-Connect, a oedd yn cynnwys yr allwedd mynediad i'r gweinydd sy'n storio data personol cleientiaid. Cyhoeddwyd y cod ar gam mewn ystorfa gyhoeddus yn 2017 ac ni chanfuwyd y gollyngiad tan ganol mis Medi 2022.
Gan ddefnyddio'r allwedd gyhoeddedig, gallai ymosodwyr gael mynediad i gronfa ddata sy'n cynnwys cyfeiriadau e-bost a chodau rheoli mwy na 269 mil o ddefnyddwyr y rhaglen T-Connect. Dangosodd dadansoddiad o'r sefyllfa mai camgymeriad gan yr is-gontractwr a oedd yn gysylltiedig â datblygu gwefan T-Connect oedd achos y gollyngiad. Datgenir nad oes unrhyw olion o ddefnydd anawdurdodedig o'r allwedd sydd ar gael yn gyhoeddus, ond ni all y cwmni atal yn llwyr gynnwys y gronfa ddata rhag syrthio i ddwylo dieithriaid. Ar ôl nodi'r broblem ar 17 Medi, disodlwyd yr allwedd dan fygythiad gydag un newydd.
Ffynhonnell: opennet.ru