Der Automobilkonzern Toyota hat Informationen über einen möglichen Leak der Nutzerbasis der mobilen Anwendung T-Connect veröffentlicht, die es Ihnen ermöglicht, Ihr Smartphone in das Informationssystem des Autos zu integrieren. Der Vorfall wurde durch die Veröffentlichung eines Teils der Quelltexte der T-Connect-Website auf GitHub verursacht, die den Zugangsschlüssel zum Server enthielten, auf dem personenbezogene Daten von Kunden gespeichert sind. Der Code wurde 2017 fälschlicherweise in einem öffentlichen Repository veröffentlicht und das Leck blieb bis Mitte September 2022 unentdeckt.
Mithilfe des veröffentlichten Schlüssels könnten Angreifer Zugriff auf eine Datenbank erhalten, die E-Mail-Adressen und Kontrollcodes von mehr als 269 Benutzern der T-Connect-Anwendung enthält. Die Analyse der Situation ergab, dass die Ursache des Lecks ein Fehler des Subunternehmers war, der an der Entwicklung der T-Connect-Website beteiligt war. Es seien keine Spuren einer unbefugten Nutzung des öffentlich zugänglichen Schlüssels erkennbar, das Unternehmen könne jedoch nicht vollständig verhindern, dass der Inhalt der Datenbank in die Hände von Fremden gerät. Nachdem das Problem am 17. September festgestellt wurde, wurde der kompromittierte Schlüssel durch einen neuen ersetzt.
Source: opennet.ru