丰田汽车公司警告说,在访问密钥在 GitHub 上公开了近五年后,客户的个人信息可能已经泄露。
Toyota T-Connect 是该汽车制造商的官方连接应用程序,它允许丰田汽车的车主将他们的智能手机与车辆的信息娱乐系统连接起来,用于电话、音乐、导航、通知集成、驾驶数据、发动机状态、油耗等。
丰田最近发现,T-Connect 网站源代码的一部分被错误地发布在 GitHub 上,其中包含存储客户电子邮件地址和管理号码的数据服务器的访问密钥。
这使得未经授权的第三方可以在 2017 年 12 月至 2022 年 9 月 15 日期间访问 296,019 名客户的详细信息,当时对 GitHub 存储库的访问受到限制。
2022 年 9 月 17 日,更改了数据库的密钥,清除了未经授权的第三方的所有潜在访问权限。
该公告解释说,客户姓名、信用卡数据和电话号码没有被泄露,因为它们没有存储在暴露的数据库中。
丰田将此错误归咎于开发分包商,但承认其对客户数据处理不当的责任,并对造成的任何不便表示歉意。
这家日本汽车制造商得出的结论是,虽然没有数据被盗用的迹象,但不能排除有人访问和窃取数据的可能性。
“经过安全专家的调查,虽然我们无法根据存储客户电子邮件地址和客户管理号的数据服务器的访问历史来确认第三方的访问,但同时我们也不能完全否认它,” –解释通知(机器翻译)。
出于这个原因,建议所有在 2017 年 7 月至 2022 年 9 月期间注册的 T-Connect 用户对网络钓鱼诈骗保持警惕,并避免打开声称来自丰田的未知发件人的电子邮件附件。
忘记代码中的密码
此类安全事件已成为一个大规模问题,使大量敏感数据面临暴露风险。
9 月,赛门铁克的安全分析师公布,近2,000 个 iOS 和 Android 应用程序的代码中包含硬编码的 AWS 凭证。
这通常是开发人员疏忽的结果,将凭据存储在代码中,以便在测试多个应用程序迭代时快速轻松地获取资产、服务访问和配置更新。
当软件准备好进行实际部署时,应该删除这些凭据,但不幸的是,正如 T-Connect 应用程序所示,这并不总是完成。
由于这个持续存在的问题,GitHub 已开始扫描已发布的代码以获取机密并阻止包含身份验证密钥的代码提交,以更好地保护项目。
但是,如果开发人员使用非标准访问密钥或自定义令牌,GitHub 默认将无法检测到它们。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 丰田在GitHub上暴露访问密钥后披露数据泄漏
