Die Sicherheitsverletzung wurde durch eine Fehlkonfiguration der Datenbank in Toyotas Cloud-Umgebung verursacht, die unbefugten Zugriff ohne Passwort ermöglichte. Diese alarmierende Entdeckung hat Bedenken hinsichtlich des Datenschutzes und der Sicherheit von vernetzten Fahrzeugen geweckt.
Betroffen sind Kunden, die zwischen dem 2. Januar 2012 und dem 17. April 2023 die Dienste T-Connect G-Link, G-Link Lite oder G-BOOK von Toyota genutzt haben. Zu den offengelegten Daten gehören die Identifikationsnummer des fahrzeugeigenen GPS-Navigationsterminals, die Fahrgestellnummer des Fahrzeugs und die entsprechenden Standortinformationen mit Zeitstempeln.
Toyota bestätigte die Sicherheitslücke in einem Sicherheitshinweis, der in seinem japanischen Newsroom veröffentlicht wurde, und der Fall wurde von Bleeping Computer untersucht. Das Unternehmen drückte sein tiefes Bedauern über die Unannehmlichkeiten und die Besorgnis aus, die es seinen Kunden und anderen Beteiligten bereitet hat, und versicherte ihnen, dass sofortige Schritte unternommen wurden, um weitere unbefugte Zugriffe auf ihre Cloud-Umgebungen zu verhindern.
Glücklicherweise gibt es derzeit keine Anzeichen dafür, dass die durchgesickerten Daten missbraucht wurden. Obwohl unbefugte Nutzer möglicherweise auf die historischen Daten von 2,15 Millionen Toyota-Fahrzeugen zugegriffen haben, enthalten die aufgedeckten Informationen keine persönlichen Daten, so dass es unmöglich ist, Einzelpersonen zu verfolgen, es sei denn, der Hacker war im Besitz der Fahrzeugidentifikationsnummer (VIN) des Autos. Es besteht jedoch das Risiko, dass Videoaufnahmen, die außerhalb des Fahrzeugs aufgenommen wurden, durchsickern.
Toyota plant, die betroffenen Kunden über registrierte E-Mail-Adressen individuell zu benachrichtigen, um der Situation Herr zu werden. Darüber hinaus wird das Unternehmen ein spezielles Call-Center einrichten, das sich um alle Fragen und Anliegen der Kunden kümmern wird.
Toyota versichert zwar, dass sofortige Maßnahmen zur Verbesserung der Sicherheit und zum Schutz der Kundendaten ergriffen wurden, doch dieser Vorfall erinnert uns eindringlich daran, wie wichtig eine solide Cybersicherheitspraxis ist.
Quelle: Bleeping Computer