Datenpanne bei Toyota: Schlüssel zu Kundendaten fünf Jahre öffentlich zugänglich
Der Autohersteller Toyota hat gepennt und Kriminelle hätten auf persönliche Daten von mehr als 290.000 Kunden zugreifen können.
Weil ein Zugangsschlüssel fünf Jahre lang beim Webdienst zur Softwareentwicklung GitHub öffentlich abrufbar war, waren E-Mail-Adressen und Kundenverwaltungsnummern von Nutzern von Toyotas T-Connect-Plattform potenziell für jedermann abrufbar.
Gefährlicher Fauxpas
Über die T-Connect-App können Autobesitzer ihre Smartphones mit dem Infotainmentsystem des Autoherstellers koppeln. Der Sourcecode der App findet sich auf GitHub und beinhaltete fünf Jahre lang einen Schlüssel, mit dem man auf Datenserver mit Kundeninformationen hätte zugreifen können.
Einem Statement von Toyoto zufolge waren davon 296.019 Nutzer betroffen. Sie haben aber eigenen Angaben zufolge bislang keine Fremdzugriffe dokumentiert, können es aber auch nicht komplett ausschließen. Namen, Kreditkartendaten und Telefonnummern sollen nicht unter den Informationen gewesen sein, da diese sich auf anderen Servern befinden.
Toyota schiebt die Schuld auf einen T-Connect-Subunternehmer, der den Quellcode irrtümlicherweise öffentlich verfügbar gemacht hat und entschuldigt sich für den Vorfall. Am 17. September 2022 soll das geändert worden sein, sodass über diesen Weg keine Zugriffe mehr möglich sind, versichert der Autohersteller.
Prävention
Um solche Leaks vorzubeugen, bietet GitHub die Option von "verschlüsselten Geheimnissen". Damit können Entwickler sensible Informationen abgeschottet in Repositories ablegen und so vor unberechtigten Zugriffen schützen. Außerdem scannt GitHub Projekte auf Authentifizierungsschlüssel und blockiert derartigen Code. Kommen hier aber benutzerdefinierte Schlüssel zum Einsatz, kann diese Schutzmaßnahme ins Leere laufen.
(des)