Toyota Motor Corporation a révélé une violation de données sur son environnement cloud qui a exposé les informations de localisation des voitures de 2 150 000 clients pendant dix ans, entre le 6 novembre 2013 et le 17 avril 2023.
Selon un avis de sécurité publié dans la salle de rédaction japonaise de l’entreprise, la violation de données résultait d’une mauvaise configuration de la base de données qui permettait à quiconque d’accéder à son contenu sans mot de passe.
« Il a été découvert qu’une partie des données que Toyota Motor Corporation avait confiées à Toyota Connected Corporation pour la gestion avaient été rendues publiques en raison d’une mauvaise configuration de l’environnement cloud », lit-on dans l’avis.
« Après la découverte de cette affaire, nous avons mis en place des mesures pour bloquer l’accès depuis l’extérieur, mais nous continuons à mener des enquêtes, y compris tous les environnements cloud gérés par TC. Nous nous excusons d’avoir causé de gros désagréments et inquiétudes à nos clients et parties liées. «
Emplacement de la voiture exposée et vidéos
Cet incident a révélé les informations des clients qui ont utilisé les services T-Connect G-Link, G-Link Lite ou G-BOOK de l’entreprise entre le 2 janvier 2012 et le 17 avril 2023.
T-Connect est le service intelligent embarqué de Toyota pour l’assistance vocale, le service client, l’état et la gestion de la voiture et l’aide d’urgence sur la route.
Les informations exposées dans la base de données mal configurée incluent :
- le numéro d’identification du terminal de navigation GPS embarqué,
- le numéro de châssis, et
- informations de localisation du véhicule avec données temporelles.
Bien qu’il n’y ait aucune preuve que les données aient été utilisées à mauvais escient, des utilisateurs non autorisés auraient pu accéder aux données historiques et éventuellement à l’emplacement en temps réel de 2,15 millions de voitures Toyota.
Il est important de noter que les détails exposés ne constituent pas des informations personnellement identifiables, il ne serait donc pas possible d’utiliser cette fuite de données pour suivre des individus à moins que l’attaquant ne connaisse le VIN (numéro d’identification du véhicule) de la voiture de sa cible.
Le VIN d’une voiture, également connu sous le nom de numéros de châssis, est facilement accessible, donc quelqu’un avec suffisamment de motivation et un accès physique à la voiture d’une cible aurait théoriquement pu exploiter la fuite de données d’une décennie pour le suivi de l’emplacement.
Une deuxième déclaration de Toyota publiée sur le site japonais « Toyota Connected » mentionne également la possibilité que des enregistrements vidéo pris à l’extérieur du véhicule aient été exposés lors de cet incident.
La période d’exposition de ces enregistrements a été définie entre le 14 novembre 2016 et le 4 avril 2023, soit près de sept ans.
Encore une fois, l’exposition de ces vidéos n’affecterait pas gravement la vie privée des propriétaires de voitures, mais cela dépend des conditions, de l’heure et du lieu.
Toyota a promis d’envoyer des avis d’excuses individuels aux clients concernés et de mettre en place un centre d’appels dédié pour traiter leurs questions et demandes.
En octobre 2022, Toyota a informé ses clients d’une autre longue violation de données résultant de l’exposition d’une clé d’accès à la base de données client T-Connect sur un référentiel GitHub public.
Cela a permis à un tiers non autorisé d’accéder aux détails de 296 019 clients entre décembre 2017 et le 15 septembre 2022, lorsque l’accès externe non autorisé au référentiel GitHub a été restreint.