Toyota Motor Corporation, müşterilerin kişisel bilgilerinin, bir erişim anahtarının yaklaşık beş yıl boyunca GitHub’da herkese açık olarak sunulmasından sonra açığa çıkmış olabileceği konusunda uyarıyor.
Toyota T-Connect, Toyota otomobil sahiplerinin telefon görüşmeleri, müzik, navigasyon, bildirim entegrasyonu, sürüş verileri, motor durumu, yakıt tüketimi ve daha fazlası için akıllı telefonlarını aracın bilgi-eğlence sistemine bağlamalarına olanak tanıyan otomobil üreticisinin resmi bağlantı uygulamasıdır.
Toyota kısa süre önce T-Connect site kaynak kodunun bir bölümünün yanlışlıkla GitHub’da yayınlandığını ve müşteri e-posta adreslerini ve yönetim numaralarını depolayan veri sunucusuna bir erişim anahtarı içerdiğini keşfetti.
Bu, yetkisiz bir üçüncü tarafın GitHub deposuna erişimin kısıtlandığı Aralık 2017 ile 15 Eylül 2022 arasında 296.019 müşterinin ayrıntılarına erişmesini mümkün kıldı.
17 Eylül 2022’de veritabanının anahtarları değiştirildi ve yetkisiz üçüncü şahıslardan tüm olası erişimler temizlendi.
Duyuru, müşteri adlarının, kredi kartı verilerinin ve telefon numaralarının, açıkta kalan veritabanında saklanmadıkları için tehlikeye atılmadığını açıklıyor.
Toyota, hata için bir geliştirme taşeronunu suçladı, ancak müşteri verilerinin yanlış kullanılması konusundaki sorumluluğunu kabul etti ve neden olduğu rahatsızlıktan dolayı özür diledi.
Japon otomobil üreticisi, verilerin kötüye kullanıldığına dair hiçbir işaret olmamasına rağmen, birisinin verilere erişme ve bunları çalma olasılığını ortadan kaldıramayacağı sonucuna varıyor.
“Güvenlik uzmanları tarafından yapılan bir araştırma sonucunda, müşterinin e-posta adresinin ve müşteri yönetim numarasının saklandığı veri sunucusunun erişim geçmişine dayanarak üçüncü bir tarafın erişimini teyit edemesek de aynı zamanda tamamen inkar edemeyiz. BT,” – bildirimi açıklar (makine tercüme edilmiştir).
Bu nedenle, Temmuz 2017 ile Eylül 2022 arasında kaydolan tüm T-Connect kullanıcılarının kimlik avı dolandırıcılığına karşı dikkatli olmaları ve Toyota’dan olduğunu iddia eden bilinmeyen göndericilerden gelen e-posta eklerini açmaktan kaçınmaları tavsiye edilir.
Koddaki şifreleri unutmak
Bu tür bir güvenlik olayı, hassas veri hazinelerini açığa çıkma riskine sokan büyük ölçekli bir sorun haline geldi.
Eylül ayında, Symantec’in güvenlik analistleri, neredeyse iOS ve Android için 2.000 uygulama kodlarında sabit kodlanmış AWS kimlik bilgilerini içerir.
Bu genellikle, birden fazla uygulama yinelemesini test ederken varlık alımını, hizmet erişimini ve yapılandırma güncellemesini hızlı ve kolay hale getirmek için kimlik bilgilerini kodda saklayan geliştirici ihmalinin bir sonucudur.
Bu kimlik bilgileri, yazılım gerçek dağıtım için hazır olduğunda kaldırılmalıdır, ancak ne yazık ki, T-Connect uygulamasının gösterdiği gibi, bu her zaman yapılmaz.
Devam eden bu sorun nedeniyle GitHub başladı sırlar için yayınlanan kodu tarama ve engelleme kodu taahhütleri projeleri daha iyi güvence altına almak için kimlik doğrulama anahtarları içeren.
Ancak bir geliştirici standart olmayan erişim anahtarları veya özel belirteçler kullanıyorsa GitHub bunları varsayılan olarak algılayamaz.