安全学习

首页 > 安全学习 > 安全头条 > 正文

安全头条

来源：安全内参发布时间：2023-05-19 点击量：

丰田汽车公司日前披露了一起云环境数据暴露事件，包括近十年的车辆位置信息、近七年的车外视频记录等敏感数据，影响了超200万辆汽车。

前情回顾· 数据泄露狂潮

安全内参5月15日消息，丰田汽车公司披露了一起云环境数据暴露事件，从2013年11月6日至2023年4月17日十年间，共有215万客户的车辆位置信息持续暴露。

根据丰田公司日本新闻编辑室发布的安全通告，此次事件是因为数据库配置错误，任何人无需密码即可访问泄露内容。

通告称，“由于云环境配置错误，丰田汽车公司委托丰田互联公司管理的部分数据已被公开。”

“发现该事件后，我们已采取措施防止外部访问，目前仍在继续开展调查，包括由丰田互联公司管理的所有云环境。对于给我们客户和相关方造成的极大不便和担忧，我们深表歉意。”

暴露信息包括车辆位置及视频

此次事件暴露了2012年1月2日至2023年4月17日期间，使用丰田T-Coneect G-Link、G-Link Lite及G-BOOK服务的客户信息。

T-Connect是丰田公司的车载智能服务，包括语音辅助、客户服务支持、汽车状态与管理，以及道路紧急救援等功能。

数据库配置错误所暴露的具体信息涵盖：

尽管没有证据表明数据被滥用，但未经授权的用户可能已经访问到这批历史数据，从而掌握215万辆丰田汽车的实时位置。

值得注意的是，暴露的详细信息中不涉及个人身份信息，因此除非攻击者知晓目标车辆的VIN（车辆识别码），否则无法使用此数据来跟踪具体个人。

汽车的VIN码也称车架号，获取难度并不算高，因此理论上具有恶意动机并能够物理接触目标车辆的人，完全可以利用这十年间的暴露数据实现车辆跟踪。

丰田在“Toyota Connected”网站上发布的第二份声明，还提到 车外拍摄的视频记录在此次事件中暴露的可能性。

视频记录的潜在暴露周期在2016年11月14日至2023年4月4日，前后持续近七年。

同样，这些视频的暴露不会严重影响车主隐私，但实际后果仍取决于条件、时间和地点等因素。

丰田公司承诺向受到影响的客户单独发送致歉通知，并设立专门的呼叫中心来处理这部分车主的查询和请求。

2022年10月，丰田曾就另一起长期数据暴露事件向客户发出通报，原因是其在公共GitHub库上公开了T-Connect客户数据库的访问密钥。

受到该起事件影响的客户总计29.6019万名，在丰田公司阻断对相关GitHub库的外部未授权访问后，事件周期最终定格在了2017年12月至2022年9月15日。