Les coordonnées personnelles de près de 300 000 clients de Toyota ont été accessibles au public via Github pendant cinq ans. Le constructeur automobile n’a pas pu confirmer si des données avaient été volées.
Toyota fait un mea-culpa plutôt embarrassant dans une annonce sur son site web. Dans cette déclaration, que nous avons récupérée via BleepingComputer et The Register, le constructeur automobile japonais écrit que les données de 269 019 clients utilisant T-Connect étaient accessibles au public pendant cinq ans. T-Connect est la plate-forme logicielle qui permet aux conducteurs de connecter leurs smartphones à leur voiture.
Toyota cherche encore à accuser un développeur de logiciels employé par le constructeur. Ce dernier avait publié un morceau du code source de la plate-forme via GitHub en décembre 2017. Rien de particulier, si ce n’est que le développeur ne s’est pas rendu compte que le code contenait une clé d’accès aux données des clients de Toyota.
Cela a pris jusqu’au 15 septembre 2022 jusqu’à ce que Toyota examine de nouveau le code et remarque que quelque chose clochait L’accès au code a été immédiatement limité et la clé d’accès aux données des clients a été modifiée.
Attention à l’hameçonnage
Selon Toyota, rien n’indique actuellement que les données des clients auraient été effectivement volées, mais cette possibilité ne peut toutefois pas être exclue. Elle appelle les utilisateurs de T-Connect à redoubler de vigilance, car les escrocs pourraient désormais les cibler très précisément en envoyant des courriels d’hameçonnage au nom de Toyota. En outre, les clients dupés devraient se contenter d’excuses sincères.
Ce n’est pas le premier cyberincident majeur auquel Toyota est confronté cette année. Une cyberattaque contre un fournisseur a forcé l’arrêt de la chaîne de production dans une usine sur trois du constructeur automobile.