Encore une fuite de données pour Toyota Motor Corporation. Deux nouveaux services cloud ont exposés des informations internes !

À la mi-mai, ZATAZ vous expliquait comment Toyota Motor Corporation avait "découvert" que l'un de ses services cloud avait exposé des informations sur 2 millions de véhicules et leurs propriétaires pendant 10 ans. Un mois plus tard, on prend les même et on recommence ! Il vient d'être découvert que deux autres services cloud mal configurés ont divulgué des informations personnelles sur les propriétaires de voitures, et cela durant 7 ans.

Après la découverte de la première fuite, le constructeur automobile japonais a mené une enquête approfondie sur tous les environnements cloud gérés par Toyota Connected Corporation. En conséquence, la société a signalé que "certaines des données contenant des informations sur les clients étaient potentiellement accessibles de l'extérieur".

Le premier service cloud a divulgué des informations personnelles de clients Toyota en Asie et en Océanie entre octobre 2016 et mai 2023. La base de données, censée n'être accessible qu'aux revendeurs et prestataires de services, a été mise à la disposition de tous par erreur. Parmis les informations : identités, adresses, immatriculations des voitures, etc. L'entreprise n'a pas précisé combien de clients ont été touchés par cette fuite.

Trois cloud, des millions de données dans la nature

Le deuxième service cloud était ouvert à tous du 9 février 2015 au 12 mai 2023 et contenait des données relatives aux systèmes de navigation automobile, y compris des informations sur les mises à jour des données cartographiques et les dates de création des données (sans informations sur l'emplacement de la voiture). La fuite est connue pour avoir affecté environ 260 000 clients au Japon qui se sont abonnés au système de navigation G-BOOK en utilisant G-BOOK mX ou G-BOOK mX Pro, ainsi que ceux qui se sont abonnés à G-Link/G-Link Lite et ont mis à jour cartes utilisant le service Toyota on Demand entre le 9 février 2015 et le 31 mars 2022. Les véhicules concernés sont les suivants : Lexus LS, GS, HS, IS, ISF, ISC, LFA, SC, CT et RX vendus entre 2009 et 2015.

Toyota rapporte que les enregistrements ont été automatiquement supprimés du cloud après un certain temps, de sorte qu'une quantité très limitée de données était disponible dans la base de données à un moment donné. Il est également souligné que même si les données étaient obtenues de l'extérieur, elles ne suffiraient pas à identifier le propriétaire de la voiture ou à accéder aux systèmes de la voiture. Le géant de l'automobile affirme que la société a maintenant mis en place un système qui surveille régulièrement les configurations du cloud et de la base de données dans tous les environnements afin d'éviter des fuites similaires à l'avenir.

Le Service veille ZATAZ repère, chaque année, des dizaines d'espaces nuagiques dont la sécurité a été prise à la légère et les données perdues ! Vos données peut-être !