La violation s'est produite en raison d'une mauvaise configuration de la base de données dans l'environnement en nuage de Toyota, ce qui a permis un accès non autorisé sans mot de passe. Cette découverte alarmante a suscité des inquiétudes quant à la confidentialité et à la sécurité des véhicules connectés.
Les clients concernés sont ceux qui ont utilisé les services T-Connect G-Link, G-Link Lite ou G-BOOK de Toyota entre le 2 janvier 2012 et le 17 avril 2023. Les données exposées comprennent le numéro d'identification du terminal de navigation GPS embarqué, le numéro de châssis du véhicule et les informations de localisation correspondantes avec l'horodatage.
Toyota a reconnu la violation par le biais d'un avis de sécurité publié dans sa salle de presse japonaise, et l'affaire a fait l'objet d'une enquête par Bleeping Computer. L'entreprise a exprimé ses profonds regrets pour la gêne et l'inquiétude causées à ses clients et aux parties concernées, tout en les assurant que des mesures immédiates ont été prises pour empêcher tout nouvel accès non autorisé à leurs environnements en nuage.
Heureusement, rien ne permet actuellement de penser que les données ayant fait l'objet d'une fuite ont été utilisées à mauvais escient. Bien que des utilisateurs non autorisés aient potentiellement accédé aux données historiques de 2,15 millions de voitures Toyota, les informations exposées ne comprennent pas de données personnelles, ce qui rend impossible le suivi des individus à moins que le pirate ne possède le numéro d'identification du véhicule (VIN). Il existe toutefois un risque de fuite d'enregistrements vidéo capturés à l'extérieur des véhicules.
Afin de remédier à cette situation, Toyota prévoit d'informer individuellement les clients concernés par l'intermédiaire des adresses électroniques enregistrées. En outre, elle mettra en place un centre d'appel dédié pour répondre à toutes les questions ou inquiétudes des clients.
Bien que Toyota assure que des mesures immédiates ont été mises en œuvre pour renforcer la sécurité et protéger les données des clients, cet incident rappelle brutalement l'importance de pratiques robustes en matière de cybersécurité.
Source : Bleeping Computer