Toyota ha tenido publicada por error una clave secreta durante cinco años

🎃 ¡Rebajas de Halloween! ¡Office 2021 para siempre por sólo 29,11€/PC! [ Saber más ]

Toyota, el fabricante de automóviles con sede en Japón, ha revelado que expuso accidentalmente una credencial que permitía el acceso a los datos de los clientes en un repositorio público de GitHub durante casi 5 años.

El código ha sido público desde diciembre de 2017 hasta septiembre de 2022. Aunque Toyota dice haber invalidado la clave, una exposición durante tanto tiempo podría significar que múltiples ciberdelincuentes podrían haber tenido acceso.

La exposición de datos en repositorios Git públicos es un tema preocupante. El código destinado a los repositorios privados, estrechamente controlados, se envía con mucha frecuencia a los repositorios públicos propiedad de empleados o contratistas, fuera del control de seguridad de sus organizaciones de GitHub.

 

Lo que ha sucedido

En 2014, Toyota presentó a sus clientes un nuevo servicio telemático llamado T-Connect, que ofrece respuesta de voz interactiva y permite a los conductores conectarse a aplicaciones de terceros. Toyota lo anuncia como sus «servicios conectados que proporcionan servicios seguros, cómodos y convenientes a través de la comunicación del vehículo.»

T-Connect permite funciones como el arranque a distancia, la conexión Wi-Fi en el coche, el acceso a la llave digital, el control total de las métricas proporcionadas por el salpicadero, así como una línea directa con la aplicación de servicio Mi Toyota. Los servidores que controlan estas opciones contienen números de identificación y correos electrónicos exclusivos de los clientes.

En diciembre de 2017, mientras trabajaba con un subcontratista no identificado, una parte del código fuente de T-Connect se subió a un repositorio público de GitHub. Dentro del repositorio había una clave de acceso codificada para el servidor de datos que gestiona la información de los clientes. Cualquiera que encontrara esa credencial podría acceder al servidor, obteniendo acceso a 296.019 clientes.

No fue hasta el 15 de septiembre de 2022 que alguien se dio cuenta de que este repositorio era público y que los datos de los clientes estaban potencialmente expuestos. Desde entonces, Toyota ha convertido el repositorio en privado y ha invalidado y sustituido las credenciales de conexión afectadas.

Dejar un comentario

Tu dirección de e-mail nunca será publicada Los campos requeridos están marcados*

Esta web usa cookies para elaborar información estadística y mostrar publicidad personalizada.

Saber más