Koncern produkujący samochody Toyota ujawnił informację o możliwym wycieku bazy użytkowników aplikacji mobilnej T-Connect, która pozwala na integrację smartfona z systemem informacyjnym samochodu. Do incydentu doszło w wyniku publikacji na GitHubie części tekstów źródłowych serwisu T-Connect, które zawierały klucz dostępu do serwera przechowującego dane osobowe klientów. Kod został omyłkowo opublikowany w publicznym repozytorium w 2017 r., a wyciek pozostał niewykryty aż do połowy września 2022 r.
Za pomocą opublikowanego klucza atakujący mogli uzyskać dostęp do bazy danych zawierającej adresy e-mail i kody kontrolne ponad 269 tysięcy użytkowników aplikacji T-Connect. Analiza sytuacji wykazała, że przyczyną wycieku był błąd podwykonawcy zaangażowanego w rozwój serwisu T-Connect. Stwierdza się, że nie stwierdzono żadnych śladów nieuprawnionego użycia publicznie dostępnego klucza, jednakże firma nie może całkowicie wykluczyć, że zawartość bazy danych nie dostanie się w ręce osób obcych. Po zidentyfikowaniu problemu 17 września skompromitowany klucz został wymieniony na nowy.
Źródło: opennet.ru