Приложение Toyota T-Connect позволяет владельцам автомобилей Toyota связать свой смартфон с информационно-развлекательной системой автомобиля для телефонных звонков, музыки, навигации, интеграции уведомлений, данных о вождении, состояния двигателя, расхода топлива и многого другого.
Как выяснилось теперь, часть исходного кода сайта T-Connect еще пять лет назад была случайно опубликована на GitHub и содержала ключ доступа к серверу, где хранились адреса электронной почты клиентов и номера менеджеров. В итоге, в период с декабря 2017 года по сентябрь 2022 года, посторонние могли получить доступ к информации о 296 019 клиентах Toyota. Обнаружив случайно размещенный на GitHub репозиторий, Toyota немедленно сделала его приватным, а еще через два дня сменила ключ для доступа к серверу.
В компании подчеркивают, что эта утечка не затронула имена клиентов, данные их кредитных карт и номера телефонов, поскольку эти данные вообще не хранились в скомпрометированной БД.
Toyota сообщает, что ошибка произошла по вине неназванного стороннего подрядчика по разработке. Японский автопроизводитель пишет, что пока никаких признаков хищения данных не обнаружено, однако нельзя исключить возможность того, что кто-то все же получил доступ к серверу и похитил информацию.