Toyota Motor Corporation mengungkapkan pelanggaran data di lingkungan cloud-nya yang mengungkap informasi lokasi mobil dari 2.150.000 pelanggan selama sepuluh tahun, antara 6 November 2013 hingga 17 April 2023.
Menurut pemberitahuan keamanan yang diterbitkan di ruang redaksi perusahaan Jepang, pelanggaran data tersebut diakibatkan oleh kesalahan konfigurasi basis data yang memungkinkan siapa saja mengakses kontennya tanpa kata sandi.
“Ditemukan bahwa sebagian data yang dipercayakan Toyota Motor Corporation kepada Toyota Connected Corporation untuk dikelola telah dipublikasikan karena kesalahan konfigurasi lingkungan cloud,” membaca pemberitahuan itu (terjemahan mesin).
“Setelah mengetahui masalah ini, kami telah menerapkan langkah-langkah untuk memblokir akses dari luar, tetapi kami terus melakukan penyelidikan, termasuk semua lingkungan cloud yang dikelola oleh TC. Kami mohon maaf karena telah menimbulkan ketidaknyamanan dan kekhawatiran yang besar bagi pelanggan kami dan pihak terkait. “
Lokasi dan video mobil terbuka
Insiden ini mengungkap informasi pelanggan yang menggunakan layanan T-Connect G-Link, G-Link Lite, atau G-BOOK perusahaan antara 2 Januari 2012 hingga 17 April 2023.
T-Connect adalah layanan pintar dalam mobil Toyota untuk bantuan suara, dukungan layanan pelanggan, status dan manajemen mobil, dan bantuan darurat di jalan raya.
Informasi yang terekspos dalam database yang salah konfigurasi meliputi:
- nomor ID terminal navigasi GPS dalam kendaraan,
- nomor rangka, dan
- informasi lokasi kendaraan dengan data waktu.
Meskipun tidak ada bukti bahwa data tersebut disalahgunakan, pengguna yang tidak berwenang dapat mengakses data historis dan kemungkinan lokasi real-time dari 2,15 juta mobil Toyota.
Penting untuk dicatat bahwa detail yang terbuka bukan merupakan informasi yang dapat diidentifikasi secara pribadi, jadi tidak mungkin menggunakan kebocoran data ini untuk melacak individu kecuali penyerang mengetahui VIN (nomor identifikasi kendaraan) mobil target mereka.
VIN mobil, juga dikenal sebagai nomor sasis, mudah diakses, sehingga seseorang dengan motivasi dan akses fisik yang cukup ke mobil target secara teoritis dapat mengeksploitasi kebocoran data selama satu dekade untuk pelacakan lokasi.
A pernyataan kedua Toyota Dipublikasikan di situs Jepang ‘Toyota Connected’ juga menyebutkan kemungkinan rekaman video yang diambil di luar kendaraan telah terungkap dalam insiden ini.
Periode pemaparan untuk rekaman ini ditetapkan antara 14 November 2016 hingga 4 April 2023, yang berarti hampir tujuh tahun.
Sekali lagi, pemaparan video ini tidak akan berdampak serius pada privasi pemilik mobil, namun hal ini bergantung pada kondisi, waktu, dan lokasi.
Toyota telah berjanji untuk mengirimkan pemberitahuan permintaan maaf individu kepada pelanggan yang terkena dampak dan mendirikan pusat panggilan khusus untuk menangani pertanyaan dan permintaan mereka.
Pada Oktober 2022, Toyota memberi tahu pelanggannya tentang pelanggaran data panjang lainnya dihasilkan dari mengekspos kunci akses basis data pelanggan T-Connect pada repositori GitHub publik.
Ini memungkinkan pihak ketiga yang tidak sah untuk mengakses detail 296.019 pelanggan antara Desember 2017 dan 15 September 2022, ketika akses eksternal yang tidak sah ke repositori GitHub dibatasi.
