De persoonlijke gegevens van bijna 300.000 klanten van Toyota waren vijf jaar lang publiek beschikbaar via Github. De autobouwer kan niet bevestigen of data gestolen is.
Toyota slaagt de wel zeer gênante mea culpa in een mededeling op zijn website. In de verklaring, die we oppikten via BleepingComputer en The Register, schrijft de Japanse autofabrikant dat de gegevens van 269.019 klanten die T-Connect gebruiken vijf jaar lang publiek beschikbaar waren. T-Connect is het softwareplatform waarmee chauffeurs hun smartphone met hun wagen kunnen verbinden.
Voor het eigenlijke incident probeert Toyota de zwarte piet nog wel door te schuiven naar een softwareontwikkelaar die in dienst werkte van de autobouwer. Die had in december 2017 een stuk van de broncode van het platform beschikbaar gesteld via GitHub. Niet ongewoon, ware het niet dat de ontwikkelaar niet in de gaten had dat de code een toegangssleutel tot de klantgegevens van Toyota bevatte.
Het duurde tot 15 september 2022 tot ze bij Toyota nog eens aandachtig naar de code keken en opmerkten dat er iets niet pluis was. De toegang tot de code werd onmiddellijk ingeperkt en de toegangssleutel naar de klantgegevens aangepast.
Opgelet voor phishing
Toyota zegt dat er momenteel geen aanwijzingen zijn dat er effectief klantendata zouden gestolen zijn, maar het kan dat ook niet uitsluiten. Het roept gebruiker van T-Connect op om extra waakzaam te zijn, want oplichters zouden hen nu zeer gericht kunnen targeten door phishingmails in naam van Toyota te verzenden. Verder moeten de gedupeerde klanten zich met welgemeende excuses tevreden stellen.
Het is niet het eerste grote cyberincident waar Toyota dit jaar mee te maken krijgt. Een cyberaanval op een leverancier legde de productieband in één op drie fabrieken van de autobouwer noodgedwongen stil.