La korporacio de fabrikado de aŭtomobiloj Toyota malkaŝis informojn pri ebla liko de la uzantbazo de la poŝtelefona aplikaĵo T-Connect, kiu ebligas al vi integri vian inteligentan telefonon kun la informsistemo de la aŭto. La okazaĵo estis kaŭzita de la publikigo en GitHub de parto de la fonttekstoj de la retejo T-Connect, kiu enhavis la alirŝlosilon al la servilo, kiu stokas personajn datumojn de klientoj. La kodo estis erare publikigita en publika deponejo en 2017 kaj la liko restis nerimarkita ĝis meze de septembro 2022.
Uzante la publikigitan ŝlosilon, atakantoj povus akiri aliron al datumbazo enhavanta retadresojn kaj kontrolkodojn de pli ol 269 mil uzantoj de la aplikaĵo T-Connect. Analizo de la situacio montris, ke la kaŭzo de la liko estis eraro de la subkontraktisto implikita en la disvolviĝo de la retejo T-Connect. Oni konstatas, ke neniuj spuroj de neaŭtorizita uzo de la publike disponebla ŝlosilo estis identigitaj, sed la kompanio ne povas tute malhelpi la enhavon de la datumbazo fali en la manojn de fremduloj. Post identigado de la problemo la 17-an de septembro, la kompromitita ŝlosilo estis anstataŭigita per nova.
fonto: opennet.ru