Toyota admitió que dejó por error una base de datos de alrededor de 300.000 correos electrónicos de clientes sin protección en línea, lo que significa que cualquiera podría haber accedido a información privada.
La filtración parece haber afectado la aplicación de conectividad patentada de Toyota, que permite a los conductores conectar sus teléfonos inteligentes con el automóvil y usar el sistema del automóvil para hacer llamadas, escuchar música, usar el sistema de navegación y similares.
Esta aplicación, llamada T-Connect, tenía una parte del código fuente de su sitio publicado en GitHub, aparentemente por error, y esa parte contenía una clave de acceso a los datos. (se abre en una pestaña nueva) servidor que almacenó las direcciones de correo electrónico de los clientes y los números de administración. No almacenó nombres de clientes, datos de tarjetas de crédito, números de teléfono u otros datos que pudieran usarse para el robo de identidad.
Listo para el phishing
Sin embargo, una dirección de correo electrónico es suficiente para lanzar un ataque de phishing.
Aún así, la base de datos contenía apenas 300,000 direcciones de correo electrónico y se dejó abierta desde diciembre de 2017 hasta mediados de septiembre de 2022, cuando Toyota finalmente logró restringir el acceso al repositorio. Dos días después, se cambiaron las claves, lo que significa que quien las usó para acceder a la base de datos ya no pudo hacerlo.
Si bien Toyota culpó a un subcontratista de desarrollo, asumió la responsabilidad por el percance y se disculpó con sus usuarios.
La compañía dice que no hay evidencia de que alguien haya manejado mal los datos, pero aun así advirtió a los clientes que desconfíen de cualquier posible ataque de phishing, ya que tampoco puede afirmar lo contrario con absoluta certeza.
«Como resultado de una investigación realizada por expertos en seguridad, aunque no podemos confirmar el acceso de un tercero en función del historial de acceso del servidor de datos donde se almacenan la dirección de correo electrónico y el número de gestión del cliente del cliente, al mismo tiempo, no podemos negar por completo eso”, dice el anuncio.
Queda por ver si Toyota enfrentará o no multas reglamentarias derivadas del incidente.
Vía: BleepingComputer (se abre en una pestaña nueva)