丰田承认外包开发误将源代码上传至GitHub公开库且已泄露五年

丰田为此次隐私泄露事件致歉，解释称一名负责构建T-Connect的外包开发人员在2017年12月将该网站的源代码上传至GitHub公开库中。直到2022年9月15日才发现该事件。

丰田查看源代码后发现，该公开代码仓库中包含存储着客户数据的服务器的访问密钥，于是该服务器暴露在全世界面前。

发现该GitHub公开仓库后，丰田立即将其专为私有仓库，并在两天后更改了该数据服务器的访问密钥。随后丰田启动调查，当时表示无法证实或否认是否有恶意人员发现该仓库并利用该密钥从服务器中窃取数据。

T-Connect 提供多种特性如基于智能手机的数字化密钥，以解锁丰田汽车、导航服务和远程启动等。

好在，存储在该服务器上的客户管理号码对于第三方而言并无太大用处。但邮件地址，尤其如果犯罪分子决定构造关于丰田的钓鱼邮件时将发挥重大作用。因此，丰田提醒T-Connect用户仔细检查收到的邮件。

或许，丰田还应更加密切检查自身情况，毕竟曾出现很多问题，如在2022年3月该公司因遭网络攻击而被迫关闭工厂，出售的汽车在行驶途中可能丢失车轮，以及伪造了卡车制造子公司Hino的排放数据。

这些失败可真需要引起重视了。

题图：Pixabay License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    觉得不错，就点个 “在看” 或 "赞” 吧~