Размер шрифта:
Уменьшить - Увеличить +
Фон страницы:
Обычный Белый Черный Голубой
Межбуквенный интервал:
Обычный Средний Большой
Изображения:
Включить Выключить
Отключить версию для слабовидящих close
Проект Координационного центра доменов .RU и .РФ
ru
en
Назад
Toyota признала утечку данных почти 270 тысяч клиентов
#утечка данных
Toyota признала утечку данных почти 270 тысяч клиентов

Компания Toyota Motor Corporation уведомила своих клиентов о возможных угрозах безопасности вследствие утечки данных. Причиной проблем стало официальное приложение T-Connect. С его помощью владельцы автомобилей Toyota могут подключить свой смартфон к информационно-развлекательной системе автомобиля для совершения звонков, прослушивания музыки, а также получения данных о состоянии систем машины, потреблении топлива и т.д. Как выяснилось, часть исходного кода этого приложения была размещена в открытом доступе на GitHub, что и само по себе является большой ошибкой. Но еще хуже то, что в код были «зашит» ключ доступа к серверу Toyota, где хранились адреса электронной почты клиентов.

Информация находилась в открытом доступе на протяжении почти пяти лет – с декабря 2017 по середину сентября 2022. 17 сентября доступ к соответствующему репозиторию GitHub был закрыт, а ключ доступа к серверу изменен. Однако данные 296 019 владельцев Toyota, установивших приложение T-Connect в этот период, оказались под угрозой. Представители автопроизводителя подчеркнули, что нет никаких свидетельство того, что данные попали в руки третьих лиц и использовались в противоправных целях, однако признали, что такую возможность нельзя отрицать. Компания сообщила, что данные были размещены на GitHub по недосмотру одного из субподрядчиков, но не стала снимать с себя вину за недосмотр и принесла всем клиентам свои извинения. Владельцев автомобилей Toyota также призвали быть максимально бдительными ввиду возможных фишинговых атак: в частности, им рекомендовано не открывать вложения сомнительных сообщений электронной почты, отправители которых могут выдавать себя за представителей Toyota. Отдельно подчеркивается, что имена и данные банковских карт клиентов не были затронуты утечкой, поскольку хранились на другом сервере.

К сожалению, подобные ситуации становятся уже почти привычными. Разработчики нередко включают ключи доступа к серверам непосредственно в код приложений: это заметно облегчает и ускоряет процесс их тестирования и отладки. Однако перед началом коммерческого использования приложения эти данные должны в обязательном порядке удаляться из кода, чего, увы, часто не происходит. Так, буквально в сентябре нынешнего года исследователи компании Symantec сообщили о почти 2000 приложений для iOS и Android, в исходном коде которых обнаружились «вшитые» ключи доступа.