close

_02_2023.06.02_Toyota_發現更多配置錯誤的雲端伺服器,造成客戶個資外洩長達_7_年

全球汽車製造行銷大廠 Toyota,日前在進行進一步的資安檢測時,發現有兩個配置錯誤的雲端伺服器,造成客戶個資外洩,且時間長達 7 年之久。

這次資安調查與發現是在 Toyota 於 2023 年 5 月發現一台配置錯誤的伺服器洩漏超過 200 萬名客戶所在地資料長達 10 年後,由該公司針對由旗下子公司 Toyota Connected Corporation 管理的雲端環境,進行全面性的深入調查而發現的。

兩台被發現配置錯誤造成資料外洩的雲端伺服器,其中第一台洩漏的是 Toyota 位於亞洲與大洋洲於 2016 年到 2023 年 5 月間的資料;該資料原本只應開放 Toyota 經銷商與服務廠取用,但卻因伺服器配置錯誤而可公開存取;其洩漏的客戶個人資料包括以下欄位:

  • 客戶住址;
  • 客戶姓名;
  • 客戶電話號碼;
  • Email;
  • 客戶編號;
  • 車輛登錄號碼;
  • 車輛識別號碼(VIN)。

Toyota 並未對外公布受該伺服器錯誤而遭外洩的受影響客戶人數。

第二台配置錯誤的雲端伺服器,洩露的是約 26 萬名日本 Toyota 客戶車內導航系統的較不敏感資料,包括車內導航裝置的裝置 ID、地圖圖資更新資訊、資料建立日期等;資料外洩期間則自 2015 年 2 月 9 日到 2023 年 5 月 12 日之間。至於受此洩露影響的車輛,以 Toyota 旗下的豪華車品牌 Lexus 為主,受影響車款包括 LS、GS、HS、IS、ISF、ISC、LFA、SC、CT、RX 等。

建議擁有大量客戶與員工個資的中大型企業,對於各種系統的配置與資安防護應更為重視,且定期進行安全測試,並請專業資安團隊進行紅隊入侵測試,以找出弱點予以補強。

  • 參考連結

Apology and Notice Concerning Newly Discovered Potential Data Leakage of Customer Information Due to Cloud Settings

https://global.toyota/en/newsroom/corporate/39241625.html

Toyota finds more misconfigured servers leaking customer info

https://www.bleepingcomputer.com/news/security/toyota-finds-more-misconfigured-servers-leaking-customer-info/

arrow
arrow
    創作者介紹
    創作者 twcert 的頭像
    twcert

    台灣電腦網路危機處理暨協調中心-TWCERT/CC

    twcert 發表在 痞客邦 留言(0) 人氣()