Het autofabrikant Toyota heeft informatie vrijgegeven over een mogelijk lek van het gebruikersbestand van de mobiele applicatie T-Connect, waarmee u uw smartphone kunt integreren met het informatiesysteem van de auto. Het incident werd veroorzaakt door de publicatie op GitHub van een deel van de bronteksten van de website van T-Connect, waarop de toegangssleutel stond tot de server waarop persoonsgegevens van klanten zijn opgeslagen. De code werd in 2017 per ongeluk gepubliceerd in een openbare repository en het lek bleef tot medio september 2022 onopgemerkt.
Met behulp van de gepubliceerde sleutel konden aanvallers toegang krijgen tot een database met e-mailadressen en controlecodes van ruim 269 duizend gebruikers van de T-Connect-applicatie. Uit analyse van de situatie bleek dat de oorzaak van het lek een fout was van de onderaannemer die betrokken was bij de ontwikkeling van de T-Connect website. Er wordt gesteld dat er geen sporen zijn aangetroffen van ongeoorloofd gebruik van de publiekelijk beschikbare sleutel, maar het bedrijf kan niet volledig voorkomen dat de inhoud van de database in handen van vreemden valt. Nadat het probleem op 17 september was vastgesteld, werd de gecompromitteerde sleutel vervangen door een nieuwe.
Bron: opennet.ru