Automobiļu ražošanas korporācija Toyota atklājusi informāciju par iespējamu mobilās aplikācijas T-Connect lietotāju bāzes noplūdi, kas ļauj integrēt viedtālruni ar automašīnas informācijas sistēmu. Incidentu izraisīja GitHub, kad tika publicēta daļa no T-Connect vietnes avota tekstiem, kuros bija piekļuves atslēga serverim, kurā tiek glabāti klientu personas dati. Kods kļūdas dēļ tika publicēts publiskā repozitorijā 2017. gadā, un noplūde netika atklāta līdz 2022. gada septembra vidum.
Izmantojot publicēto atslēgu, uzbrucēji varēja piekļūt datu bāzei, kurā ir vairāk nekā 269 tūkstošu T-Connect lietojumprogrammas lietotāju e-pasta adreses un kontroles kodi. Situācijas analīze parādīja, ka noplūdes iemesls bija T-Connect vietnes izstrādē iesaistītā apakšuzņēmēja kļūda. Tiek norādīts, ka publiski pieejamās atslēgas nesankcionētas izmantošanas pēdas nav konstatētas, taču uzņēmums nevar pilnībā novērst datu bāzes satura nonākšanu svešu cilvēku rokās. Pēc problēmas identificēšanas 17. septembrī apdraudētā atslēga tika nomainīta pret jaunu.
Avots: opennet.ru