Toyota 云端配置错误,客户个资外泄达 7 年
全球汽车制造行销大厂 Toyota,日前在进行进一步的资安检测时,发现有两个配置错误
的云端服务器,造成客户个资外泄,且时间长达 7 年之久。
这次资安调查与发现是在 Toyota 于 2023 年 5 月发现一台配置错误的服务器泄漏超过
200 万名客户所在地资料长达 10 年后,由该公司针对由旗下子公司 Toyota Connected
Corporation 管理的云端环境,进行全面性的深入调查而发现的。
两台被发现配置错误造成资料外泄的云端服务器,其中第一台泄漏的是 Toyota 位于亚洲
与大洋洲于 2016 年到 2023 年 5 月间的资料;该资料原本只应开放 Toyota 经销商与
服务厂取用,但却因服务器配置错误而可公开存取;其泄漏的客户个人资料包括以下字段
:
客户住址;
客户姓名;
客户电话号码;
Email;
客户编号;
车辆登录号码;
车辆识别号码(VIN)。
Toyota 并未对外公布受该服务器错误而遭外泄的受影响客户人数。
第二台配置错误的云端服务器,泄露的是约 26 万名日本 Toyota 客户车内导航系统的较
不敏感资料,包括车内导航装置的装置 ID、地图图资更新资讯、资料建立日期等;资料
外泄期间则自 2015 年 2 月 9 日到 2023 年 5 月 12 日之间。至于受此泄露影响的车
辆,以 Toyota 旗下的豪华车品牌 Lexus 为主,受影响车款包括 LS、GS、HS、IS、ISF
、ISC、LFA、SC、CT、RX 等。
建议拥有大量客户与员工个资的中大型企业,对于各种系统的配置与资安防护应更为重视
,且定期进行安全测试,并请专业资安团队进行红队入侵测试,以找出弱点予以补强。
本文转载自TWCERT/CC。
资料来源:
https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=10507