Eine Fehlkonfiguration der Cloud führt zu massiven Datenschutzverletzungen bei Toyota Motor

Von Apurva Venkat

Hauptkorrespondent, CSO |

Der japanische Autohersteller Toyota gab an, dass die Daten von rund 260.000 Kunden aufgrund einer falsch konfigurierten Cloud-Umgebung online offengelegt wurden. Neben Kunden in Japan wurden auch Daten bestimmter Kunden in Asien und Ozeanien offengelegt.

Toyota hat Maßnahmen umgesetzt, um den Zugriff auf die Daten von außen zu blockieren, und untersucht die Angelegenheit einschließlich aller von Toyota Connect (TC) verwalteten Cloud-Umgebungen.

„Wir entschuldigen uns aufrichtig bei unseren Kunden und allen relevanten Parteien für etwaige Bedenken und Unannehmlichkeiten“, sagte Toyota in einer Erklärung.

Im Anschluss an die Untersuchung hat der Automobilhersteller außerdem ein System zur Überwachung der Cloud-Umgebung implementiert.

„Da wir glauben, dass dieser Vorfall auch auf eine unzureichende Verbreitung und Durchsetzung der Datenverarbeitungsregeln zurückzuführen ist, haben wir seit unserer letzten Ankündigung ein System zur Überwachung von Cloud-Konfigurationen implementiert“, sagte Toyota. Derzeit ist das System in Betrieb, um die Einstellungen aller Cloud-Umgebungen zu überprüfen und die Einstellungen laufend zu überwachen.

„Darüber hinaus werden wir erneut eng mit TC zusammenarbeiten, um die Regeln für den Umgang mit Daten zu erläutern und gründlich durchzusetzen“, heißt es in der Erklärung von Toyota.

Toyota hat außerdem bestätigt, dass es keine Hinweise auf eine Zweitverwendung oder Kopien von Daten Dritter im Internet gibt. „Zum jetzigen Zeitpunkt haben wir keine Folgeschäden bestätigt“, sagte Toyota.

Das Datenleck wurde erstmals am 12. Mai von Toyota gemeldet. „Es wurde festgestellt, dass ein Teil der Daten, die die Toyota Motor Corporation der Toyota Connected Corporation zur Verwaltung anvertraut hatte, aufgrund einer Fehlkonfiguration der Cloud-Umgebung veröffentlicht worden war“, sagte Toyota am 12. Mai , laut einer maschinellen Übersetzung der Aussage auf Japanisch.

Die Geräte-ID im Fahrzeug, Kartendatenaktualisierungen, aktualisierte Datenerstellungsdaten sowie Karteninformationen und deren Erstellungsdatum (nicht der Fahrzeugstandort) waren möglicherweise extern zugänglich.

Bei dem Vorfall wurden Daten von rund 260.000 Kunden offengelegt. Dazu gehören Kunden, die G-BOOK mit einem G-BOOK mX- oder G-BOOK mX Pro-kompatiblen Navigationssystem abonniert haben, und einige Kunden, die G-Link / G-Link Lite*1 abonniert und den On-Demand-Dienst ihrer Karten zwischendurch erneuert haben 9. Februar 2015 und 31. März 2022, sagte Toyota.

Die Daten wurden vom 9. Februar 2015 bis zum 12. Mai 2023 offengelegt. „Grundsätzlich werden die oben genannten Kundeninformationen innerhalb kurzer Zeit nach der Verteilung der Kartendaten automatisch aus der Cloud-Umgebung gelöscht und währenddessen nicht kontinuierlich gespeichert oder akkumuliert.“ über dem Zeitraum", sagte Toyota.

Kunden, deren Informationen möglicherweise durchgesickert sind, erhalten vom Unternehmen eine separate Entschuldigung und Benachrichtigung an ihre registrierten E-Mail-Adressen.

Einige der Dateien, die TC in der Cloud-Umgebung für die Wartung und Untersuchung von Systemen ausländischer Händler verwaltet, seien aufgrund einer Fehlkonfiguration möglicherweise extern zugänglich, sagte Toyota.

Adresse, Name, Telefonnummer, E-Mail-Adresse, Kundennummer, Fahrzeugkennzeichen und Fahrzeugidentifikationsnummer bestimmter Kunden in Asien und Ozeanien wurden möglicherweise nach außen preisgegeben. Diese Daten wurden von Oktober 2016 bis Mai 2023 offengelegt.

„Wir werden den Fall in jedem Land in Übereinstimmung mit den Gesetzen zum Schutz personenbezogener Daten und den damit verbundenen Vorschriften des jeweiligen Landes bearbeiten“, sagte Toyota.

Dies ist nicht das erste Mal, dass Kundendaten von Toyota durchgesickert sind.

Letztes Jahr im Oktober berichtete Toyota, dass persönliche Daten von Kunden möglicherweise nach außen preisgegeben wurden, nachdem ein Zugangsschlüssel fast fünf Jahre lang öffentlich auf GitHub verfügbar war.

Toyota T-Connect ist die offizielle Konnektivitäts-App, mit der Besitzer von Toyota-Fahrzeugen ihr Smartphone mit dem Infotainmentsystem des Fahrzeugs verbinden können, um Telefonanrufe, Musik, Navigation, Benachrichtigungsintegration, Fahrdaten, Motorstatus, Kraftstoffverbrauch usw. zu erhalten.

Ein Teil des Quellcodes der T-Connect-Site wurde auf GitHub veröffentlicht und enthielt einen Zugangsschlüssel zum Datenserver, auf dem Kunden-E-Mail-Adressen und Verwaltungsnummern gespeichert waren.

Daten von 296.019 Kunden wurden zwischen Dezember 2017 und dem 15. September 2022 offengelegt.

Apurva Venkat ist Hauptkorrespondentin für die Indien-Ausgaben von CIO, CSO und Computerworld.

Copyright © 2023 IDG Communications, Inc.