Seguridad

Toyota revela fuga de datos que afecta a más de 290.000 clientes

En otra importante brecha de seguridad, Toyota Motor Corporation advierte a los clientes que su información personal podría quedar expuesta accidentalmente después de que se revelara públicamente una clave de acceso en GitHub durante casi cinco años.

La brecha salió a la luz cuando el fabricante de automóviles japonés descubrió recientemente que parte del código fuente de su sitio web «T-Connect» se había publicado por error en GitHub.

El código fuente también contenía una clave de acceso al servidor de datos que almacena las direcciones de correo electrónico y los números de gestión (asignados automáticamente) de los clientes que se registraron en el sitio web de T-Connect después de julio de 2017.

Para los inexpertos, T-Connect Toyota es una aplicación de conectividad que permite a los propietarios de automóviles Toyota rastrear su automóvil, verificar su estado, controlar un automóvil de forma remota y mucho más usando su teléfono inteligente o tableta: un reloj inteligente.

¿Qué causó la fuga?

Según Toyota, un subcontratista de desarrollo de sitios web, «T-Connect», cargó en diciembre de 2017 parte del código fuente de Toyota en un repositorio de GitHub y lo configuró incorrectamente para el acceso público.

Como resultado del manejo inadecuado del código fuente por parte del subcontratista de desarrollo, el código estuvo expuesto en Internet desde diciembre de 2017 hasta el 15 de septiembre de 2022, es decir, el día en que Toyota descubrió la violación de datos.

Acciones tomadas después del descubrimiento

Después de identificar la violación de datos el 15 de septiembre de 2022, Toyota inmediatamente hizo que el código fuente fuera privado en GitHub. El 17 de septiembre de 2022, la empresa cambió la clave de acceso del servidor de datos afectado para evitar todo posible acceso por parte de terceros no autorizados.

Además, Toyota ha creado una página especial en su sitio web que permite a los usuarios comprobar si su dirección de correo electrónico se ha visto afectada por el incidente. También han establecido un centro de llamadas dedicado para responder las preguntas e inquietudes de los clientes.

Resultados

Toyota no pudo confirmar si un tercero usó la clave de acceso para conectarse al servidor que almacenaba las direcciones de correo electrónico y los números de administración de los clientes.

Sin embargo, dijo que el incidente no afectó ninguna otra información del cliente, como nombre, número de teléfono, tarjeta de crédito, etc., ya que no se almacenaron en la base de datos expuesta. Además, las direcciones de correo electrónico utilizadas para los vehículos Lexus y las aplicaciones MyToyota tampoco se vieron comprometidas.

La empresa ya ha comenzado a enviar cartas de disculpa a más de 296.000 clientes afectados por el mal manejo de los datos de los clientes.

Recomendaciones de clientes

Toyota dice que si bien no hay evidencia de ningún uso no autorizado de información personal relacionada con la violación de datos, es probable que se envíen a los clientes correos electrónicos no deseados como «suplantación de identidad» o «estafas de phishing» utilizando direcciones de correo electrónico.

La compañía aconseja a los clientes afectados que permanezcan atentos a tales correos electrónicos o estafas.

El fabricante de automóviles también aconseja a los clientes que no abran los archivos adjuntos recibidos en un correo electrónico de un remitente desconocido y que eliminen dichas solicitudes de correo electrónico de inmediato.

Además, aconseja a los usuarios extremar las precauciones al acceder a la dirección (URL) descrita en el correo electrónico.

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!