トヨタ自動車株式会社は、アクセスキーが GitHub でほぼ 5 年間公開された後、顧客の個人情報が公開された可能性があると警告しています。
Toyota T-Connect は、トヨタ車の所有者がスマートフォンを車両のインフォテインメント システムにリンクして、電話、音楽、ナビゲーション、通知の統合、運転データ、エンジン ステータス、燃料消費などを利用できるようにする、自動車メーカーの公式接続アプリです。
トヨタは最近、T-Connect サイトのソース コードの一部が誤って GitHub に公開され、顧客の電子メール アドレスと管理番号を格納するデータ サーバーへのアクセス キーが含まれていることを発見しました。
これにより、GitHub リポジトリへのアクセスが制限された 2017 年 12 月から 2022 年 9 月 15 日までの間に、不正な第三者が 296,019 人の顧客の詳細にアクセスすることが可能になりました。
2022 年 9 月 17 日に、データベースのキーが変更され、許可されていない第三者からのすべての潜在的なアクセスが削除されました。
発表では、公開されたデータベースに保存されていないため、顧客名、クレジット カード データ、および電話番号が侵害されていないと説明しています。
トヨタは、このエラーについて開発協力会社を非難しましたが、顧客データの誤った取り扱いに対する責任を認め、ご迷惑をおかけしたことをお詫び申し上げます。
日本の自動車メーカーは、データの不正流用の兆候は見られませんが、誰かがデータにアクセスして盗んだ可能性を排除できないと結論付けています.
「セキュリティ専門家による調査の結果、お客様のメールアドレスやお客様管理番号が保管されているデータサーバーへのアクセス履歴から第三者によるアクセスを確認することはできませんが、同時に完全に否定することはできません。 」 – 通知を説明します(機械翻訳)。
このため、2017 年 7 月から 2022 年 9 月の間に登録した T-Connect のすべてのユーザーは、フィッシング詐欺に注意し、トヨタからのものであると主張する未知の送信者からの電子メールの添付ファイルを開かないようにすることをお勧めします。
コード内のパスワードを忘れる
この種のセキュリティ インシデントは、大量の機密データを危険にさらす大規模な問題になっています。
9 月、Symantec のセキュリティ アナリストは、iOS および Android 向けの 2,000 近くのアプリケーションのコードにハードコードされた AWS 資格情報が含まれていることを明らかにしました。
これは通常、開発者の怠慢の結果であり、資格情報をコードに保存して、複数のアプリの反復をテストしながら、アセットのフェッチ、サービスへのアクセス、および構成の更新を迅速かつ簡単にします。
これらの資格情報は、ソフトウェアを実際に展開する準備ができたら削除する必要がありますが、残念ながら、T-Connect アプリのケースが示すように、これは常に行われるとは限りません。
この進行中の問題により、GitHub は公開されたコードをスキャンしてシークレットを探し、認証キーを含むコードのコミットをブロックして、プロジェクトをより安全に保護することを開始しました。
ただし、開発者が非標準のアクセス キーまたはカスタム トークンを使用している場合、GitHub はデフォルトでそれらを検出できません。
Comments