Toyota confirma falha a expor dados de localização de 2 milhões de clientes por dez anos
A Toyota Motor Corporation confirmou uma nova falha de segurança na sua infraestrutura cloud, que durante mais de dez anos pode ter deixado exposto os dados de localização de veículos associados a 2.150.000 clientes.
A falha foi identificada de forma recente, mas estaria aberta desde 6 de Novembro de 2013 até 17 de Abril de 2023. Durante este período, os dados de mais de dois milhões de clientes da empresa poderiam ser acedidos, incluindo dados de localização.
A falha teria sido derivada de uma migração da base de dados dos sistemas da empresa, que terá sido realizada incorretamente e permitia aos utilizadores acederem aos dados sem terem uma senha configurada para tal.
A empresa afirma que, assim que a falha foi identificada, foram implementadas medidas para corrigir o problema em todas as suas plataformas cloud, e que ainda se encontram a ser realizadas as investigações necessárias para o problema.
Esta falha afetou sobretudo os clientes de serviços T-Connect G-Link, G-Link Lite, e G-BOOK, que poderiam ter os dados acedidos durante estes dez anos. Estes serviços são usados em vários veículos da empresa, como forma de oferecer suporte aos condutores ou como plataforma de comunicação direta para a empresa.
Entre os dados que poderiam encontrar-se comprometidos encontra-se o ID de GPS do veículo, número do mesmo e a localização.
De notar que a empresa ainda se encontra a realizar a análise do problema, sendo que, para já, não existe a confirmação que os dados tenham sido usados de forma maliciosa, apesar da falha ter permanecido ativa durante dez anos.
Ao mesmo tempo, apesar de os dados incluírem a localização em tempo real dos veículos, não seria possível obter essa informação sem que os atacantes soubessem o número de veículo a analisar.
A empresa alerta, no entanto, que algumas gravações de vídeo feitas pelo sistema também poderiam ter sido comprometidas como parte deste ataque. No entanto, tal como anteriormente, desconhece-se para já o acesso indevido a estes dados.