La mala configuración de la nube provoca una violación masiva de datos en Toyota Motor
Por Apurva Venkat
Corresponsal Principal, CSO |
El fabricante de automóviles japonés Toyota dijo que los datos de aproximadamente 260,000 clientes estaban expuestos en línea debido a un entorno de nube mal configurado. Junto con los clientes en Japón, también se expusieron datos de ciertos clientes en Asia y Oceanía.
Toyota ha implementado medidas para bloquear el acceso a los datos desde el exterior y está investigando el asunto, incluidos todos los entornos en la nube administrados por Toyota Connect (TC).
"Nos disculpamos sinceramente con nuestros clientes y todas las partes relevantes por cualquier preocupación e inconveniente que esto pueda haber causado", dijo Toyota en un comunicado.
Tras la investigación, el fabricante de automóviles también ha implementado un sistema para monitorear el entorno de la nube.
"Como creemos que este incidente también fue causado por una divulgación y aplicación insuficientes de las reglas de manejo de datos, desde nuestro último anuncio, hemos implementado un sistema para monitorear las configuraciones de la nube", dijo Toyota. Actualmente, el sistema está en funcionamiento para verificar la configuración de todos los entornos de nube y monitorear la configuración de manera continua.
"Además, volveremos a trabajar de cerca con TC para explicar y hacer cumplir las reglas para el manejo de datos", dijo Toyota en el comunicado.
Toyota también ha confirmado que no había evidencia de ningún uso secundario o copias de datos de terceros que permanecieran en Internet. "Por el momento, no hemos confirmado ningún daño secundario", dijo Toyota.
Toyota informó por primera vez sobre la fuga de datos el 12 de mayo. "Se descubrió que parte de los datos que Toyota Motor Corporation confió a Toyota Connected Corporation para administrar se habían hecho públicos debido a una mala configuración del entorno de la nube", dijo Toyota el 12 de mayo. , según una traducción automática de la declaración en japonés.
La identificación del dispositivo en el vehículo, las actualizaciones de datos de mapas, las fechas de creación de datos actualizadas y la información de mapas y su fecha de creación (no la ubicación del vehículo) han sido potencialmente accesibles externamente.
Los datos de aproximadamente 260.000 clientes quedaron expuestos en el incidente. Estos incluyen clientes que se suscribieron a G-BOOK con un sistema de navegación compatible con G-BOOK mX o G-BOOK mX Pro, y algunos clientes que se suscribieron a G-Link / G-Link Lite*1 y renovaron su servicio Maps' on Demand entre 9 de febrero de 2015 y 31 de marzo de 2022, dijo Toyota.
Los datos estuvieron expuestos desde el 9 de febrero de 2015 hasta el 12 de mayo de 2023. "En principio, la información del cliente anterior se elimina automáticamente del entorno de la nube dentro de un período corto después de que se distribuyen los datos del mapa y no se almacena ni acumula continuamente durante el por encima del período", dijo Toyota.
Los clientes cuya información se haya filtrado recibirán una disculpa por separado y una notificación de la empresa a sus direcciones de correo electrónico registradas.
Algunos de los archivos que TC administra en el entorno de la nube para el mantenimiento y la investigación de los sistemas de los distribuidores en el extranjero eran potencialmente accesibles externamente debido a una configuración incorrecta, dijo Toyota.
La dirección, el nombre, el número de teléfono, la dirección de correo electrónico, la identificación del cliente, el número de registro del vehículo y el número de identificación del vehículo de ciertos clientes en Asia y Oceanía estaban potencialmente expuestos externamente. Estos datos estuvieron expuestos desde octubre de 2016 hasta mayo de 2023.
"Nos ocuparemos del caso en cada país de acuerdo con las leyes de protección de información personal y las regulaciones relacionadas de cada país", dijo Toyota.
Esta no es la primera vez que se filtran datos de clientes de Toyota.
En octubre del año pasado, Toyota informó que la información personal de los clientes puede haber estado expuesta externamente después de que una clave de acceso estuvo disponible públicamente en GitHub durante casi cinco años.
Toyota T-Connect es la aplicación de conectividad oficial que permite a los propietarios de automóviles Toyota vincular su teléfono inteligente con el sistema de información y entretenimiento del vehículo para llamadas telefónicas, música, navegación, integración de notificaciones, datos de conducción, estado del motor, consumo de combustible, etc.
Una parte del código fuente del sitio de T-Connect se publicó en GitHub y contenía una clave de acceso al servidor de datos que almacenaba las direcciones de correo electrónico y los números de gestión de los clientes.
Se expusieron detalles de 296.019 clientes entre diciembre de 2017 y el 15 de septiembre de 2022.
Apurva Venkat es corresponsal principal de las ediciones de India de CIO, CSO y Computerworld.
Derechos de autor © 2023 IDG Communications, Inc.
A continuación, lea esto