
Toyota Motor Corporation a découvert deux autres services cloud mal configurés qui ont divulgué les informations personnelles des propriétaires de voitures pendant plus de sept ans.
Cette découverte est intervenue après que le constructeur automobile japonais a mené une enquête approfondie sur tous les environnements cloud gérés par Toyota Connected Corporation après avoir découvert un serveur mal configuré qui a exposé les données de localisation de plus de 2 millions de clients pendant dix ans.
« Nous avons mené une enquête pour tous les environnements cloud gérés par TOYOTA Connected Corporation (TC). Il a été découvert qu’une partie des données contenant des informations sur les clients avaient été potentiellement accessibles de l’extérieur », lit-on dans la nouvelle notice de Toyota.
Le premier service cloud a exposé les informations personnelles des clients de Toyota en Asie et en Océanie entre octobre 2016 et mai 2023.
La base de données, qui n’aurait dû être accessible qu’aux revendeurs et aux prestataires de services, a été publiquement exposée, laissant fuiter les informations suivantes sur les clients :
- Adresse
- Nom
- Numéro de téléphone
- Adresse e-mail
- N ° de client
- Numéro d’immatriculation du véhicule
- Numéro d’identification du véhicule (NIV)
Le constructeur japonais n’a pas précisé combien de clients ont été impactés par cette fuite.
La deuxième instance cloud a été exposée entre le 9 février 2015 et le 12 mai 2023 et contenait des données moins sensibles liées aux systèmes de navigation des voitures. Ces données incluent l’ID de l’appareil embarqué (terminal de navigation), les mises à jour des données cartographiques et les dates de création des données (pas de données de localisation du véhicule) d’environ 260 000 clients au Japon.
Cette fuite a touché les clients qui se sont abonnés au système de navigation G-BOOK avec un G-BOOK mX ou G-BOOK mX Pro et certains qui se sont abonnés à G-Link / G-Link Lite et ont renouvelé leurs cartes en utilisant le service à la demande de Toyota entre le 9 février , 2015, et 31 mars 2022.
Les véhicules concernés sont des modèles de la sous-marque de Toyota, Lexus, et comprennent les voitures LS, GS, HS, IS, ISF, ISC, LFA, SC, CT et RX vendues entre 2009 et 2015.
Toyota affirme que les entrées de données ont été automatiquement supprimées de l’environnement cloud après un certain temps, de sorte qu’il y avait une quantité limitée de données exposées à un moment donné.

Le constructeur automobile affirme que même si les données étaient consultées de l’extérieur, il ne suffirait pas de déduire des détails d’identification sur le client ou d’accéder aux systèmes du véhicule de quelque manière que ce soit.
Toyota affirme avoir mis en place un système qui surveille régulièrement les configurations du cloud et les paramètres de base de données sur tous ses environnements afin d’éviter ce type de fuites à l’avenir.