E a Toyota alertou sobre um vazamento de dados de seus clientes, causado por uma chave de acesso que ficou disponível publicamente no GitHub.
O Toyota T-Connect é o aplicativo de conectividade oficial da montadora que permite que os proprietários de carros Toyota vinculem seu smartphone ao sistema de infoentretenimento do veículo para chamadas telefônicas, música, navegação, integração de notificações, dados de direção, status do motor, consumo de combustível e muito mais.
A Toyota descobriu recentemente que uma parte do código-fonte do site T-Connect foi publicada por engano no GitHub e continha uma chave de acesso ao servidor de dados que armazenava endereços de e-mail de clientes e números de gerenciamento.
Toyota alertou sobre um vazamento de dados de seus clientes
Sim. A Toyota Motor Corporation está alertando que as informações pessoais dos clientes podem ter sido expostas após uma chave de acesso estar disponível publicamente no GitHub por quase cinco anos.
Isso possibilitou que um terceiro não autorizado acessasse os detalhes de 296.019 clientes entre dezembro de 2017 e 15 de setembro de 2022, quando o acesso ao repositório do GitHub era restrito.
Em 17 de setembro de 2022, as chaves do banco de dados foram alteradas, eliminando todo o acesso potencial de terceiros não autorizados.
O anúncio explica que nomes de clientes, dados de cartão de crédito e números de telefone não foram comprometidos, pois não foram armazenados no banco de dados exposto.
A Toyota culpou um subcontratado de desenvolvimento pelo erro, mas reconheceu sua responsabilidade pelo manuseio incorreto dos dados do cliente e pediu desculpas por qualquer inconveniente causado.
A montadora japonesa conclui que, embora não haja sinais de apropriação indevida de dados, não pode descartar a possibilidade de alguém ter acessado e roubado os dados.
“Como resultado de uma investigação de especialistas em segurança, embora não possamos confirmar o acesso de terceiros com base no histórico de acesso do servidor de dados onde o endereço de e-mail do cliente e o número de gerenciamento do cliente estão armazenados, ao mesmo tempo, não podemos negar completamente it,” – explica o aviso.
Por esse motivo, todos os usuários do T-Connect que se registraram entre julho de 2017 e setembro de 2022 devem ficar atentos a golpes de phishing e evitar abrir anexos de e-mail de remetentes desconhecidos que afirmam ser da Toyota.
Esse tipo de incidente de segurança tornou-se um problema de grande escala que coloca em risco de exposição muitos dados confidenciais.
Em setembro, os analistas de segurança da Symantec revelaram que quase 2.000 aplicativos para iOS e Android contêm credenciais da AWS codificadas em seu código.
Isso geralmente é resultado de negligência do desenvolvedor, armazenando credenciais no código para tornar a busca de ativos, acesso ao serviço e atualização de configuração rápida e fácil ao testar várias iterações de aplicativos.
Essas credenciais devem ser removidas quando o software estiver pronto para implantação real, mas, infelizmente, como mostra o caso do aplicativo T-Connect, isso nem sempre é feito.
Devido a esse problema contínuo, o GitHub começou a verificar o código publicado em busca de segredos e bloqueando confirmações de código que contêm chaves de autenticação para proteger melhor os projetos.
No entanto, se um desenvolvedor usar chaves de acesso não padrão ou tokens personalizados, o GitHub não poderá detectá-los por padrão.