Une mauvaise configuration du cloud provoque une violation massive des données chez Toyota Motor
MaisonMaison > Blog > Une mauvaise configuration du cloud provoque une violation massive des données chez Toyota Motor

Une mauvaise configuration du cloud provoque une violation massive des données chez Toyota Motor

Apr 25, 2023

Par Apurva Venkat

Correspondant principal, CSO |

Le constructeur automobile japonais Toyota a déclaré qu'environ 260 000 données de clients avaient été exposées en ligne en raison d'un environnement cloud mal configuré. Outre les clients au Japon, les données de certains clients en Asie et en Océanie ont également été exposées.

Toyota a mis en place des mesures pour bloquer l'accès aux données de l'extérieur et étudie la question, y compris tous les environnements cloud gérés par Toyota Connect (TC).

"Nous nous excusons sincèrement auprès de nos clients et de toutes les parties concernées pour toute préoccupation et inconvénient que cela aurait pu causer", a déclaré Toyota dans un communiqué.

Suite à l'enquête, le constructeur automobile a également mis en place un système de surveillance de l'environnement cloud.

"Comme nous pensons que cet incident a également été causé par une diffusion et une application insuffisantes des règles de traitement des données, depuis notre dernière annonce, nous avons mis en place un système pour surveiller les configurations du cloud", a déclaré Toyota. Actuellement, le système est opérationnel pour vérifier les paramètres de tous les environnements cloud et pour surveiller les paramètres de manière continue.

"En outre, nous travaillerons à nouveau en étroite collaboration avec TC pour expliquer et appliquer scrupuleusement les règles de traitement des données", a déclaré Toyota dans le communiqué.

Toyota a également confirmé qu'il n'y avait aucune preuve d'utilisation secondaire ou de copies de données par des tiers restant sur Internet. "A l'heure actuelle, nous n'avons confirmé aucun dommage secondaire", a déclaré Toyota.

La fuite de données a été signalée pour la première fois par Toyota le 12 mai. "Il a été découvert qu'une partie des données que Toyota Motor Corporation avait confiées à Toyota Connected Corporation pour la gestion avaient été rendues publiques en raison d'une mauvaise configuration de l'environnement cloud", a déclaré Toyota le 12 mai, selon une traduction automatique de la déclaration en japonais.

L'ID de l'appareil embarqué, les mises à jour des données cartographiques, les dates de création des données mises à jour et les informations cartographiques et leur date de création (et non l'emplacement du véhicule) ont potentiellement été accessibles de l'extérieur.

Les données d'environ 260 000 clients ont été exposées lors de l'incident. Il s'agit notamment des clients qui se sont abonnés à G-BOOK avec un système de navigation compatible G-BOOK mX ou G-BOOK mX Pro, et de certains clients qui se sont abonnés à G-Link / G-Link Lite*1 et ont renouvelé leur service Maps' on Demand entre le 9 février 2015 et le 31 mars 2022, a déclaré Toyota.

Les données ont été exposées du 9 février 2015 au 12 mai 2023. « En principe, les informations client ci-dessus sont automatiquement supprimées de l'environnement cloud dans un court laps de temps après la distribution des données cartographiques et ne sont pas stockées ou accumulées en continu pendant la période ci-dessus », a déclaré Toyota.

Les clients dont les informations peuvent avoir été divulguées recevront des excuses et une notification séparées à leurs adresses e-mail enregistrées de la part de la société.

Certains des fichiers que TC gère dans l'environnement cloud pour la maintenance et l'investigation des systèmes des concessionnaires étrangers étaient potentiellement accessibles de l'extérieur en raison d'une mauvaise configuration, a déclaré Toyota.

L'adresse, le nom, le numéro de téléphone, l'adresse e-mail, l'identifiant client, le numéro d'immatriculation du véhicule et le numéro d'identification du véhicule de certains clients en Asie et en Océanie ont potentiellement été exposés à l'extérieur. Ces données ont été exposées d'octobre 2016 à mai 2023.

"Nous traiterons le cas dans chaque pays conformément aux lois sur la protection des informations personnelles et aux réglementations connexes de chaque pays", a déclaré Toyota.

Ce n'est pas la première fois que des données clients de Toyota sont divulguées.

L'année dernière, en octobre, Toyota a signalé que les informations personnelles des clients pouvaient avoir été exposées à l'extérieur après qu'une clé d'accès ait été accessible au public sur GitHub pendant près de cinq ans.

Toyota T-Connect est l'application de connectivité officielle qui permet aux propriétaires de voitures Toyota de relier leur smartphone au système d'infodivertissement du véhicule pour les appels téléphoniques, la musique, la navigation, l'intégration des notifications, les données de conduite, l'état du moteur, la consommation de carburant, etc.

Une partie du code source du site T-Connect a été publiée sur GitHub et contenait une clé d'accès au serveur de données qui stockait les adresses e-mail et les numéros de gestion des clients.

Les détails de 296 019 clients ont été exposés entre décembre 2017 et le 15 septembre 2022.

Apurva Venkat est le correspondant principal des éditions indiennes de CIO, CSO et Computerworld.

Copyright © 2023 IDG Communications, Inc.

Ensuite, lisez ceci