บริษัทโตโยต้าพบเซิร์ฟเวอร์ที่มีการตั้งค่าผิดพลาดเพิ่มเติม ทำให้ข้อมูลของลูกค้ารั่วไหล

บริษัทโตโยต้ามอเตอร์คอร์ปอเรชั่น พบบริการคลาวด์อีก 2 รายการ ที่มีการตั้งค่าไม่ถูกต้อง ซึ่งทำให้ข้อมูลส่วนบุคคลของเจ้าของรถยนต์รั่วไหลมานานกว่าเจ็ดปี

การค้นพบนี้เกิดขึ้นหลังจากที่ผู้ผลิตรถยนต์ญี่ปุ่นได้ดำเนินการสำรวจอย่างละเอียดในระบบคลาวด์ทั้งหมดที่ถูกจัดการโดยบริษัท TOYOTA Connected Corporation หลังจากค้นพบเซิร์ฟเวอร์ที่มีการตั้งค่าไม่ถูกต้อง ที่ทำให้มีการเปิดเผยข้อมูล location ของลูกค้ากว่า 2 ล้านคนเป็นเวลากว่า 10 ปี

Toyota ประกาศว่า "เราได้ดำเนินการตรวจสอบระบบคลาวด์ทั้งหมดที่ถูกจัดการโดยบริษัท TOYOTA Connected Corporation (TC) และพบว่าข้อมูลบางส่วนที่ประกอบไปด้วยข้อมูลลูกค้าสามารถเข้าถึงได้จากภายนอก"

การรั่วไหลของข้อมูลครั้งแรกบนบริการคลาวด์ ได้เปิดเผยข้อมูลส่วนบุคคลของลูกค้าโตโยต้าในเอเชีย และโอเชียเนีย ตั้งแต่เดือนตุลาคม 2016 ถึงพฤษภาคม 2023

ฐานข้อมูลที่ควรจะเข้าถึงได้เฉพาะผู้จัดจำหน่าย และผู้ให้บริการถูกเผยแพร่ออกสู่สาธารณะ ทำให้ข้อมูลของลูกค้ารั่วไหล โดยมีข้อมูลดังต่อไปนี้

  • ที่อยู่
  • ชื่อ
  • หมายเลขโทรศัพท์
  • ที่อยู่อีเมล
  • รหัสลูกค้า
  • หมายเลขทะเบียนรถยนต์
  • หมายเลขระบุตัวรถยนต์ (VIN)

ผู้ผลิตรถยนต์สัญชาติญี่ปุ่นไม่ได้ชี้แจ้งว่ามีลูกค้าจำนวนเท่าไรที่ได้รับผลกระทบจากการรั่วไหลนี้

การรั่วไหลของข้อมูลครั้งที่ 2 บนบริการคลาวด์ เกิดขึ้นระหว่างวันที่ 9 กุมภาพันธ์ 2015 ถึงวันที่ 12 พฤษาภม 2023 และมีข้อมูลที่มีความสำคัญเกี่ยวกับระบบนำทางของรถยนต์ เช่น ไอดีของอุปกรณ์ภายในรถยนต์ (navigation terminal), การอัปเดตข้อมูลของแผนที่ และวันที่สร้างข้อมูล(ไม่มีข้อมูลตำแหน่งของยานพาหนะ) ของลูกค้าประมาณ 260,000 รายในประเทศญี่ปุ่น

การรั่วไหลข้อมูลนี้ มีผลกระทบต่อลูกค้าที่สมัครสมาชิกในระบบนำทาง G-BOOK ด้วย G-BOOK mX หรือ G-BOOX mX Pro และลูกค้าบางรายที่สมัครสมาชิก G-Link/G-Link Lite และต่ออายุการใช้งานของแผนที่โดยใช้บริการ Toyota's on Demand ระหว่างวันที่ 9 กุมภาพันธ์ 2015 ถึงวันที่ 31 มีนาคม 2022 รถยนต์ที่ได้รับผลกระทบเป็นรุ่นของยี่ห้อย่อยของโตโยต้าชื่อ Lexus และรถยนต์รุ่น LS, GS, HS, IS, ISF, ISC, LFA, SC, CT, และ RX ที่ขายในช่วงปี 2009 ถึง 2015

โตโยต้าระบุว่า รายการข้อมูลจะถูกลบอัตโนมัติจากระบบคลาวด์หลังจากผ่านไประยะเวลาหนึ่ง ดังนั้นจึงมีข้อมูลที่ถูกเปิดเผยจำกัดในแต่ละช่วงเวลา

รายละเอียดของฐานข้อมูลที่เปิดเผยครั้งแรก (โตโยต้า)

โตโยต้าระบุว่า ถึงแม้ข้อมูลจะถูกเข้าถึงจากภายนอกได้ ก็ไม่เพียงพอที่จะสามารถสรุปรายละเอียดเกี่ยวกับตัวตนของลูกค้า หรือเข้าถึงระบบของรถยนต์ได้

โดยบริษัทได้ใช้ระบบที่ตรวจสอบการกำหนดค่าคลาวด์ และการตั้งค่าฐานข้อมูลทั้งหมดอย่างสม่ำเสมอเพื่อป้องกันการรั่วไหลเช่นนี้อีกในอนาคต

อ้างอิง : https://www.bleepingcomputer.com/news/security/toyota-finds-more-misconfigured-servers-leaking-customer-info/