Bezpieczeństwo danych jest w dzisiejszych czasach kluczowe w działalności korporacji. Informacje zawierające dane osobowe są łakomym kąskiem dla cyberprzestępców, dlatego właśnie zdarzają się przypadki włamań do baz firm. W przypadku Toyoty było zupełnie inaczej – można powiedzieć, że producent sam udostępnił część danych swoich klientów.
Toyota przyznała się do błędu
W ubiegłym miesiącu informowaliśmy Was o tym, że ofiarą ataku cyberprzestępców stał się Hyundai Polska. Wówczas przez nieautoryzowany dostęp do bazy danych hakerzy uzyskali dane kontaktowe klientów marki, takie jak adresy e-mail, numery telefonów oraz dane o miejscu i dacie urodzenia. Firma wówczas sama poinformowała o incydencie i przeprosiła swoich klientów.
Do błędu przyznał się teraz japoński producent samochodów – Toyota. Ta sprawa jest jednak o tyle nietypowa, że nie mamy tutaj do czynienia z działalnością cyberprzestępców, ale błędem ludzkim. W komunikacie na stronie internetowej koncern przyznaje, że „część danych, które Toyota Motor Corporation powierzyła zarządzaniu Toyota Connected Corporation, została upubliczniona z powodu błędnej konfiguracji środowiska chmurowego”.
Wygląda więc na to, że dane były gromadzone w publicznej chmurze zamiast w prywatnej. Można by było pomyśleć – no cóż, jak widać, takie rzeczy zdarzają się nawet wielkim korporacjom. Zaskakujący jest jednak czas, w jakim funkcjonowała wspomniana przez markę błędna konfiguracja. Firma przyznała, że dostęp do danych zgromadzonych w chmurze można było uzyskać w okresie od 6 listopada 2013 do 17 kwietnia 2023, czyli przez niemal 10 lat!
Jakie dane były dostępne publicznie?
W sieci pojawiają się informacje mówiące o tym, że przez cały czas trwania incydentu publicznie dostępne były dane dotyczące 2,15 mln. samochodów. Problem dotyczy klientów, którzy zarejestrowali się w usłudze T-Connect, oferującej np. głosowe wspomaganie jazdy dzięki sztucznej inteligencji czy automatyczne połączenie z numerem ratunkowym w nagłych wypadkach. Dane zbierane były nie tylko w pojazdach marki Toyota – problem dotknął też użytkowników G-Link, bliźniaczej usługi dostępnej dla właścicieli Lexusów.
Przez kilka lat dostępne były bazy danych, które zawierały ID samochodu (nie jest wiadome, czy chodzi o numer VIN), lokalizację auta oraz czas, w którym został wykonany pomiar. Dodatkowo dostępne były także nagrania z zewnętrznych kamer samochodów. W tym wypadku najstarsze dane pochodziły jednak z listopada 2016 roku.
O incydencie poinformowana została Japońska Komisja Ochrony Danych Osobowych. Toyota zapewnia, że tuż po wykryciu problemu podjęto kroki w celu zablokowania dostępu do danych i przeprowadzono „dochodzenie we wszystkich środowiskach chmurowych zarządzanych przez Toyota Connected Corporation”.