image

Toyota lekt gegevens 296.000 klanten via broncode in publiek GitHub-account

dinsdag 11 oktober 2022, 09:42 door Redactie, 7 reacties

Toyota heeft de gegevens van meer dan 296.000 klanten gelekt nadat broncode van een Toyota-website jarenlang via een publiek GitHub-account beschikbaar was. De broncode bevatte een key waarmee toegang tot de server kon worden verkregen waarop de klantgegevens stonden. Het gaat om het e-mailadres en klantnummer die Toyota-klanten bij de registratie op de Toyota Connect-website hadden ingevuld.

Toyota Connect is een app waarmee autobezitters allerlei informatie over hun voertuig kunnen inzien. Het bedrijf dat de website voor Toyota Connect ontwikkelde had een deel van de broncode op ontwikkelaarsplatform GitHub geplaatst. Het betreffende GitHub-account was echter publiek, waardoor iedereen van december 2017 tot 15 september 2022 toegang tot de geüploade broncode kon krijgen.

In de broncode stond een key waarmee er toegang tot de dataserver kon worden verkregen waarop het e-mailadres en klantnummer van 296.000 klanten stonden. Volgens Toyota heeft de webontwikkelaar de regels voor het omgaan met broncode geschonden door die naar een publiek GitHub-account te uploaden. Iets dat het bedrijf pas op 15 september van dit jaar ontdekte. Toyota zal alle gedupeerde klanten nu waarschuwen.

Reacties (7)
11-10-2022, 09:47 door Anoniem
Ook wel 'grappig' dat die key blijkbaar 5 jaar niet veranderd is...
11-10-2022, 11:00 door Anoniem
Heel eerlijk, dit is een directe nalatigheid van Toyota Group.

Dit had lang en breed voorkomen kunnen worden door als bedrijf een eigen privé Github te creëren en te onderhouden, desbetreffende bedrijf toe te laten tot een private instaande bij Toyota Group en vervolgens daar coderen.

Nee, dit had NOOIT mogen gebeuren en had bij mijn kennis en weten lang en breed voorkomen kunnen worden.

Jammer dat het 5 jaar heeft geduurd....
11-10-2022, 11:00 door Anoniem
Door Anoniem: Ook wel 'grappig' dat die key blijkbaar 5 jaar niet veranderd is...

Dat is ook grappig, maar ook heel erg...
11-10-2022, 13:21 door Anoniem
Door Anoniem: Dit had lang en breed voorkomen kunnen worden door als bedrijf een eigen privé Github te creëren en te onderhouden, desbetreffende bedrijf toe te laten tot een private instaande bij Toyota Group en vervolgens daar coderen.
Of gewoon git zelf gebruiken, dat is gemaakt voor gedistribueerd werken en ondersteunt dat van begin af aan al. Daar heb je geen GitHub of GitLab of zo voor nodig: je kan repositories via ssh toegankelijk maken. Een restricted shell die alleen ondersteunt wat voor git nodig is wordt standaard met git meegeleverd.

Verder zou die sleutel nooit in de broncode moeten staan, dat hoort in een (goed afgeschermd) configuratiebestand thuis of een andere bron te hebben die op runtime wordt gelezen. Maar goed, ik ben functiescheiding gewend: een ontwikkelaar heeft helemaal geen toegang tot de operationele omgeving (en dus ook niet tot die sleutel die nu in de broncode staat), en beheerders ontwikkelen niet.
11-10-2022, 13:46 door Anoniem
Door Anoniem: Ook wel 'grappig' dat die key blijkbaar 5 jaar niet veranderd is...

Mogelijk, maar misschien dacht die developer gewoon dat het op private stond, en is de key verschillende keren ge-update.

Zo goed als alle repo's die je in een commercieel bedrijf zoals dit gebruikt zijn private. Als het fout is ingesteld en je gebruikt niet de website van github zelf maar een andere git client, is het waarschijnlijk niet altijd even goed zichtbaar hoe de repo is ingesteld. Dat die key niet veranderd zou zijn is gewoon een aanname.

Verder vindt ik het natuurlijk nalatigheid. Als je voor een commercieel software bedrijf werkt ga je niet die code op je eigen github plaatsen.
11-10-2022, 18:58 door Anoniem
Het linkje in dit bericht naar meer informatie is niet zo zinvol: mijn begrip van het Japans is niet meer wat het nooit is geweest :-)
Wat ik wel ga doen is een AVG inzageverzoek indienen voor de gegevens die mijn auto over mij registreert.
13-10-2022, 16:51 door Anoniem
Door Anoniem: Heel eerlijk, dit is een directe nalatigheid van Toyota Group.

Dit had lang en breed voorkomen kunnen worden door als bedrijf een eigen privé Github te creëren en te onderhouden, desbetreffende bedrijf toe te laten tot een private instaande bij Toyota Group en vervolgens daar coderen.

Nee, dit had NOOIT mogen gebeuren en had bij mijn kennis en weten lang en breed voorkomen kunnen worden.

Jammer dat het 5 jaar heeft geduurd....

5 jaar ?? Ik kom regelmatig keys tegen die de afgelopen 10 kaar niet gewijzigd zijn. Dan vraag je eigenlijk af waarom mensen aluminium folie krankzinnig zijn en nergens meer hun gegevens invullen. Nou daarom dus, iedere mafkees die anders denkt houdt het nieuws maar in de gaten de gatenkaas en de psychose zal steeds groter en erger worden. Allemaal noonbas le security da Emporio!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.