Автомобілебудівна корпорація Toyota розкрила відомості про можливий витік бази користувачів мобільного додатку T-Connect, що дозволяє інтегрувати свій смартфон з інформаційною системою автомобіля. Інцидент викликаний публікацією на GitHub частини вихідних текстів сайту T-Connect, в яких опинився ключ доступу до сервера, що зберігає персональні дані клієнтів. Код помилки був опублікований у публічному репозиторії у 2017 році і до середини вересня 2022 року витік залишався непоміченим.
Використовуючи опублікований ключ, зловмисники могли отримати доступ до бази даних, що містить email-адреси та керуючі коди більш ніж 269 тисяч користувачів програми T-Connect. Розбір ситуації показав, що причиною витоку стала помилка субпідрядника, який розробляв сайт T-Connect. Стверджується, що слідів несанкціонованого використання розміщеного у відкритому доступі ключа не виявлено, але компанія може повністю виключити потрапляння вмісту БД до рук сторонніх. Після виявлення проблеми 17 вересня скомпрометований ключ замінили на новий.
Джерело: opennet.ru