Автомобилестроительная корпорация Toyota раскрыла сведения о возможной утечке базы пользователей мобильного приложения T-Connect, позволяющего интегрировать свой смартфон с информационной системой автомобиля. Инцидент вызван публикацией на GitHub части исходных текстов сайта T-Connect, в которых оказался ключ доступа к серверу, хранящему персональные данные клиентов. Код по ошибке был опубликован в публичном репозитории в 2017 году и до середины сентября 2022 года утечка оставалась незамеченной.
Используя опубликованный ключ злоумышленники могли получить доступ к базе данных, содержащей email-адреса и управляющие коды более чем 269 тысяч пользователей приложения T-Connect. Разбор ситуации показал, что причиной утечки стала ошибка субподрядчика, занимавшегося разработкой сайта T-Connect. Утверждается, что следов несанкционированного использования размещённого в открытом доступе ключа не выявлено, но компания не может полностью исключить попадание содержимого БД в руки посторонних. После выявления проблемы 17 сентября скомпрометированный ключ был заменён на новый.
Sors: opennet.ru