Automotive Corporation Toyota julkisti tiedon mahdollisesta T-Connect-mobiilisovelluksen käyttäjäkunnan vuodosta, jonka avulla voit integroida älypuhelimesi auton tietojärjestelmään. Tapaus johtui siitä, että GitHubissa julkaistiin osa T-Connect-verkkosivuston lähdetekstejä, jotka sisälsivät pääsyavaimen asiakkaiden henkilötietoja tallentavaan palvelimeen. Koodi julkaistiin vahingossa julkiseen arkistoon vuonna 2017, ja syyskuun 2022 puoliväliin asti vuoto jäi huomaamatta.
Julkaistun avaimen avulla hyökkääjät voivat päästä tietokantaan, joka sisältää yli 269 17 T-Connect-sovelluksen käyttäjän sähköpostiosoitteet ja ohjauskoodit. Tilanneanalyysi osoitti, että vuodon syynä oli T-Connect-verkkosivuston kehittämiseen osallistuneen alihankkijan virhe. Julkisesti asetetun avaimen luvattomasta käytöstä ei ole väitetty löytyneen, mutta yritys ei voi täysin sulkea pois tietokannan sisällön joutumista ulkopuolisten käsiin. Kun ongelma havaittiin XNUMX. syyskuuta, vaarantunut avain korvattiin uudella.
Lähde: opennet.ru