Toyota Motor Corporation, erişim anahtarı 5 yıldır GitHub’da açık bir şekilde yer aldığı için, müşterilerin kişisel bilgilerinin açığa çıkmış olabileceği konusunda uyarı yayınladı.
Toyota kısa süre önce T-Connect site kaynak kodunun bir bölümünün yanlışlıkla GitHub’da yayınlandığını ve müşteri e-posta adreslerini ve yönetim numaralarını depolayan veri sunucusuna erişim anahtarının da yayınlananlar içinde olduğunu farketti. T-Connect, Toyota otomobil sahiplerinin akıllı telefonlarını aracın bilgi-eğlence sistemine bağlamalarını ve bu yolla telefon görüşmeleri, müzik, navigasyon, bildirim entegrasyonu, sürüş verileri, motor durumu, yakıt tüketimi vs konularını yönetmelerine olanak tanıyan resmi bağlantı uygulaması.
GitHub’da yayınlanan kaynak kodu ve özellikle erişim anahtarı, Aralık 2017 ile 15 Eylül 2022 arasında 296.019 müşterinin ayrıntılarına erişmesini mümkün kıldı. Japon otomobil üreticisi, verilerin kötüye kullanıldığına dair hiçbir işaret olmamasına rağmen, birisinin verilere erişme ve bunları çalma olasılığını ortadan kaldıramayacağı sonucuna varıyor.
“Güvenlik uzmanları tarafından yapılan bir araştırma sonucunda, müşterinin e-posta adresinin ve müşteri yönetim numarasının saklandığı veri sunucusunun erişim geçmişine dayanarak üçüncü bir tarafın erişimini teyit edemesek de aynı zamanda tamamen inkar edemeyiz.”
17 Eylül 2022’de veritabanının anahtarları değiştirildi ve yetkisiz üçüncü şahıslardan tüm olası erişimler engellenmiş oldu. Toyota, hata için bir geliştirme taşeronunu suçladı, ancak müşteri verilerinin yanlış kullanılması konusundaki sorumluluğunu kabul etti ve neden olduğu rahatsızlıktan dolayı özür diledi ve Temmuz 2017 ile Eylül 2022 arasında kayıt yaptıran tüm T-Connect kullanıcılarının kimlik avı dolandırıcılığına karşı dikkatli olmaları ve Toyota’dan olduğunu iddia eden bilinmeyen göndericilerden gelen e-posta eklerini açmaktan kaçınmaları tavsiye edildi.
Bu genellikle, birden fazla uygulama yinelemesini test ederken varlık alımını, hizmet erişimini ve yapılandırma güncellemesini hızlı ve kolay hale getirmek için kimlik bilgilerini kodda saklayan geliştirici ihmalinin bir sonucudur. Bu kimlik bilgileri, yazılım gerçek dağıtım için hazır olduğunda kaldırılmalıdır, ancak ne yazık ki, T-Connect uygulamasının gösterdiği gibi, ihmal edildiği durumlar oluyor.
Devam eden bu sorun nedeniyle GitHub, projeleri daha güvenli hale getirmek için yayınlanmış kodları taramaya ve kimlik doğrulama anahtarları içeren kod taahhütlerini engellemeye başladı.