丰田承认外包开发误将源代码上传至GitHub公开库且已泄露五年
编译:代码卫士
丰田证实称,将注册其T-Connect协助网站的296019个邮件地址和客户管理号码暴露至网络。
丰田为此次隐私泄露事件致歉,解释称一名负责构建T-Connect的外包开发人员在2017年12月将该网站的源代码上传至GitHub公开库中。直到2022年9月15日才发现该事件。
丰田查看源代码后发现,该公开代码仓库中包含存储着客户数据的服务器的访问密钥,于是该服务器暴露在全世界面前。
发现该GitHub公开仓库后,丰田立即将其专为私有仓库,并在两天后更改了该数据服务器的访问密钥。随后丰田启动调查,当时表示无法证实或否认是否有恶意人员发现该仓库并利用该密钥从服务器中窃取数据。
T-Connect 提供多种特性如基于智能手机的数字化密钥,以解锁丰田汽车、导航服务和远程启动等。
好在,存储在该服务器上的客户管理号码对于第三方而言并无太大用处。但邮件地址,尤其如果犯罪分子决定构造关于丰田的钓鱼邮件时将发挥重大作用。因此,丰田提醒T-Connect用户仔细检查收到的邮件。
或许,丰田还应更加密切检查自身情况,毕竟曾出现很多问题,如在2022年3月该公司因遭网络攻击而被迫关闭工厂,出售的汽车在行驶途中可能丢失车轮,以及伪造了卡车制造子公司Hino的排放数据。
这些失败可真需要引起重视了。
因供应商遭不明网络攻击,丰田汽车宣布停产
供应商承包商成汽车厂商软肋 福特通用丰田等商业机密遭泄露
用手机app入侵丰田混合动力车卡罗拉
Juniper Networks修复200多个第三方组件漏洞
Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控
https://www.theregister.com/2022/10/11/toyota_source_code_email_leak/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。