Toyota-database met data van 2 miljoen klanten stond 10 jaar openbaar online

Toyota had de database van een van zijn clouddiensten tien jaar lang online staan zonder wachtwoord. In die database staat informatie van meer dan twee miljoen Japanse klanten die Toyota's T-Connect-dienst gebruiken. Ook zustermerk Lexus is erbij betrokken.

Het gaat om 2,15 miljoen Japanse gebruikers. Dat zijn bijna alle klanten die zich sinds 2012 hebben ingeschreven voor T-Connect, of G-Link in het geval van Lexus-auto's. "Het zou over details kunnen gaan als voertuiglocaties en serienummers van de voertuigapparaten", vertelt Toyota aan Reuters.

"Er was een gebrek aan actieve detectiemechanismen en activiteiten om de aanwezigheid of afwezigheid op te merken van dingen die openbaar werden", verklaart het bedrijf verder als antwoord op de vraag hoe dat lek zo lang kon bestaan. Het vertelt verder dat er 'geen meldingen van misbruik zijn geweest'. De database was sinds november 2013 openbaar toegankelijk via internet en dat lek werd medio april van dit jaar gedicht.

In reactie hierop gaat Toyota een systeem instellen om de veiligheid aan audits te onderwerpen en voor het continu monitoren van dergelijke voorzieningen. Ook moeten werknemers 'grondig' onderwezen worden over regels rondom het hanteren van andermans data. Tot slot is de Japanse privacyautoriteit ingelicht.

Met T-Connect, dat ook smartphoneapps omvat, kunnen gebruikers navigeren, acculading uitlezen en plannen, het klimaat in de wagen voorbereiden op een rit en hulp onderweg inschakelen indien nodig. In Europa heet de dienst MyT.

Het is de tweede maal in korte tijd dat Toyota zich in een dergelijke situatie bevindt. Vorig jaar bleek dat een deel van de broncode van de Toyota Connect-website vijf jaar lang beschikbaar is geweest via een openbaar GitHub-account. In de broncode zat een sleutel die toegang verschafte tot een server met klantgegevens van 296.000 mensen. Daarbij ging het om e-mailadressen en klantnummers.

Reacties (61)

Polderviking

12 mei 2023 15:19

Toch erg geestig dat dit dan zo lang onder de radar blijft, terwijl andere, ogenschijnlijk veel moeilijkere "hacks", aan de orde van de dag zijn.

Bas_f @Polderviking • 12 mei 2023 15:56

Als developer leer je al heel snel dat "security through obscurity" absoluut not-done is. Dit bewijst eigenlijk wel het tegenovergestelde. Het kan dus heel lang goed gaan, als niemand er maar vanaf weet.

Deadslim77

@Bas_f • 12 mei 2023 16:06

of niemand wat met die info doet, of niet opzichtig gebruikt

d3burt

@Deadslim77 • 12 mei 2023 16:50

Of niemand de tijd heeft om alle brakke API's in deze wereld af te fietsen.

Hier is een aardig verhaal over een aantal vrienden die, op weg naar een security conferentie, even gaat rondkijken naar wat er in de automotive industry allemaal wagenwijd openstaat:

https://samcurry.net/web-hackers-vs-the-auto-industry/

Hier zit Toyota dus met een ander lek tussen. Samen met Mercedes, BMW, Porsche, Ferrari, de lijst is te lang om op te noemen.

Aldy @d3burt • 13 mei 2023 13:38

https://samcurry.net/web-hackers-vs-the-auto-industry/

Als jouw merk er niet tussen staat wil dat niet zeggen dat dit bij jou niet het geval is. Denk eerder dat deze groep vrienden er nog niet aan toe is gekomen.

Polderviking

@Bas_f • 12 mei 2023 16:12

Die term is volgens mij ook wel behoorlijk uit het lood getrokken over de jaren heen.
Er lijkt mij vrij in de basis weinig mis met vaag zijn over je omgeving tegen mensen die het niets aan gaat. Da's gewoon obscurity.

Het wordt allicht grimmig als het een primaire strategie is.
Maar zelfs dan kan het kennelijk tien jaar goed gaan.

[Reactie gewijzigd door Polderviking op 29 juli 2024 18:58]

ACM Software Architect @Polderviking • 12 mei 2023 16:26

Klopt; een standaard advies van pentesters is bijvoorbeeld om niet het versienummer van de webserver of (versie van) programmeertaal te tonen.

Dat is een vorm van obscurity, maar het maakt het toch weer wat moeilijker voor kwaadwillenden om te beoordelen welke lekken bij een systeem dan relevant zijn.

The Zep Man

Datalek
Bedrijfsnieuws
Networking en security

@ACM • 12 mei 2023 17:06

Klopt; een standaard advies van pentesters is bijvoorbeeld om niet het versienummer van de webserver of (versie van) programmeertaal te tonen.

Dat is een vorm van obscurity,

Oneens. Dat is een vorm van hardening. Obscurity is als je een hoger versienummer naar buiten zou rapporteren t.o.v. van wat je werkelijk geïnstalleerd hebt.

mjl @The Zep Man • 13 mei 2023 15:23

Of een lagere versie en SIEM alerts maken op misbruik pogingen

d3burt

@ACM • 12 mei 2023 17:15

Er zijn maar weinig kwaadwillenden die zo gericht aanvallen. Ik zie dagelijks aanvallen die alleen op IIS kunnen werken op Apache servers, en omgekeerd. Waarschijnlijk vanuit een van de vele botnets, waarvan de beheerders de gevonden kwetsbaarheden per kilo doorverkopen op het darkweb.

De enige situatie waarbij het uitmaakt is als er daadwerkelijk een bekende kwetsbaarheid in je software zit en je niet voldoende snel patcht. In mijn beleving is het verbergen van een versienummer de laagste prioriteit, na: alles waarbij dat kan niet direct op het Internet zetten, een goede WAF inzetten, logging op orde, gelaagde beveiliging, en snel patchen. En het personeel wapenen tegen phishing en watering hole aanvallen, want dat zijn de routes waar de meeste ellende door binnenkomt.

kimborntobewild @Bas_f • 12 mei 2023 16:39

Als developer leer je al heel snel dat "security through obscurity" absoluut not-done is. Dit bewijst eigenlijk wel het tegenovergestelde. Het kan dus heel lang goed gaan, als niemand er maar vanaf weet.

Dit bewijst juist dat Security Through Obscurity not-done is.
We weten nu immers dat de data bloot lag.
Hoe kan jij nagaan dat de data nooit gedownload is? Kan je niet.

Polderviking

@kimborntobewild • 12 mei 2023 16:45

Ik denk niet dat het serieus bedoeld was.

kimborntobewild @Polderviking • 14 mei 2023 22:50

Ik denk het wel.

Verwijderd @Bas_f • 12 mei 2023 16:59

Dit bewijst dus het tegendeel. Het is nu pas ontdekt door Toyota. We weten echter niet of het in de tussentijd wel goed is gegaan, of dat er al jaren misbruik van wordt gemaakt door criminelen/overheden/etc.

denios @Bas_f • 12 mei 2023 16:51

Het zou natuurlijk ook kunnen dat bepaalde groepen hiermee de Prius'en hebben gelocaliseerd, waarvan al die katalysators worden gestolen. Die gaan niet even Toyota bellen dat de db open staat.

https://www.newsweek.com/...r-theft-target-us-1650471

[Reactie gewijzigd door denios op 29 juli 2024 18:58]

QuattroNL @denios • 12 mei 2023 17:08

De Prius 2 en 3 (waar de meeste kats van gestolen worden) hebben geen T-connect. Ik heb althans nog nergens een 3/4G iets in m'n auto (idd, een P3 van 2013) kunnen vinden.
Wat ik er van kon vinden hebben alleen de nieuwere Toyota modellen vanaf 2012 T-connect (de Prius 3 is er vanaf 2009 dus geen T-connect).

gocuk 12 mei 2023 15:17

Toyota heeft recent nog meerdere gevallen van datalek te verwerken gehad.

https://cybernews.com/security/toyota-customer-data-leak/

https://www.idstrong.com/sentinel/toyota-t-connect-leak/

CH4OS

Datalek

@gocuk • 12 mei 2023 15:55

Ik denk dat het Cybernews artikel over hetzelfde gaat als deze, gezien de datum waarop dat gepost is. Zal niet de eerste keer zijn dat bepaalde websites wat laat zijn. Ook temeer omdat zo snel achter elkaar een nieuw datalek best enorm snel is.

[Reactie gewijzigd door CH4OS op 29 juli 2024 18:58]

Christoxz @CH4OS • 12 mei 2023 16:26

Cybernews heeft het over toegang tot een marketing tool. Terwijl Tweakers schrijft over een database met mogelijk zelf voertuig locaties. Lijkt mij niet dat deze in een marketing tool staan.

Webgnome @Christoxz • 13 mei 2023 08:33

Want een 'marketing tool' kan niet een frontend voor een database systeem zijn?

batjes

Networking en security

@gocuk • 12 mei 2023 17:17

Wat ik een beetje (erg) jammer vind, zelf heb ik me nergens bij Toyota opgegeven of ingeschreven. Maar ze hebben wel mijn gegevens via het lease maatschappij.

Ik moet er eigenlijk nog melding van maken bij AP, net als de Hornbach die bij zelfscankassa's niet eens vraagt of je je postcode wil invoeren, maar het brengt alsof dit een verplicht veld is.

Zo vermoeiend dat er amper tot geen fuck mee gedaan wordt.

beerse @batjes • 12 mei 2023 17:36

Als jij least ben jij klant bij de leasemaatschappij. De lease maatschappij is klant bij Toyota. Daarmee zou de communicatie (if at al) via deze route moeten lopen. Ook eventuele aan- en afmeldingen.

batjes

Networking en security

@beerse • 12 mei 2023 17:42

Ik heb er nooit toestemming voor gegeven en als ik er moeilijk over wil gaan doen, moet dit handmatig.

Dat is niet volgens AVG. Ik heb niets te maken met Toyota.

RCBL @batjes • 12 mei 2023 19:21

Heb je m dan niet bij Toyota gekocht?

batjes

Networking en security

@RCBL • 13 mei 2023 11:32

Nee, ik heb een klasse A leaseauto geleased van een lease bedrijf.

x280 @batjes • 15 mei 2023 10:36

Mag de leasemaatschappij jou gegevens wel delen met hun ?

batjes

Networking en security

@x280 • 15 mei 2023 10:47

Gezien ik er nooit toestemming voor gegeven heb, lijkt me niet.

Momenteel alleen de energie niet voor. Je blijft aan de lopende band melding maken en anoniem melding making is in de praktijk waardeloos, dus om voor je privacy op te komen, moet je je privacy opgeven.

.Kaas 12 mei 2023 16:36

Per ongeluk aan het internet is nog tot daaraan toe. Maar ook nog zonder authenticatie?

beerse @.Kaas • 12 mei 2023 17:39

Het meest frappante is dat de diverse scams en zo het 10 jaar niet hebben opgemerkt.

Mijn eerste nas die ik hier klik-klak-klaar in gebruik had genomen en daarna rustig onderzocht was toch binnen een maand aangevallen

, wat dan weer eerder door het toenmalige xs4all was ontdekt dan door mij zelf.

.Kaas @beerse • 13 mei 2023 00:47

Heb je dan bewust poorten opengezet zodat de nas extern bereikbaar werd?

beerse @.Kaas • 13 mei 2023 21:37

Het was toen een combinatie van per-ongeluk de nat-route ingesteld van de router naar de nas toen ik voor intern gebruik de ssh poort opende: Dingen die fout kunnen gaan gaan een keer fout. En daarbij een te eenvoudig wachtwoord.

DaaNMageDDoN @beerse • 14 mei 2023 13:57

Upnp misschien?

obimk1 12 mei 2023 16:20

Och Toyota / autofabrikanten en IT, een ramp.

https://www.edn.com/toyot...ign-and-its-consequences/

Spreek uit ervaring als autotechnisch ingenieur.

Comma 12 mei 2023 22:07

10 jaar is wel erg lang om zulke date ongemerkt open te hebben staan.

DarkMagician 12 mei 2023 23:29

Ik werk nu iets meer dan een jaar voor de IT van Toyota Europe en het aantal meldingen dat ik bij de afdeling cybersecurity heb gedaan is bizar. Dus ik ben zeker niet verbaasd. Het grootste probleem is dat er veel managers zijn die externe partijen moeten aansturen. Daarnaast zijn deze managers vaak ook weer extern ingehuurd. Oftewel de affiniteit en feeling met het bedrijf is er niet en de algehele cultuur is samen te vatten onder “niet mijn afdeling”. Ook is vaak onduidelijk waar je precies moet zijn en bij een follow-up blijkt een melding gewoonweg nergens geregistreerd te zijn. Nu heb ik alleen kennis van Toyota dus ik weer niet of het extern inhuren van de schoonmaakster tot en met de afdelingsmanager de normale gang van zaken is maar het zorgt er in elk geval voor dat de informatie niet terecht komt bij iemand die er wat mee kan.

StroopP @DarkMagician • 14 mei 2023 13:40

“Ik werk nu iets meer dan een jaar voor de IT van Toyota Europe”

Het lijkt er op dat ze nog steeds de verkeerde mensen inhuren. De it mensen die ze bij Toyota inhuren zetten gewoon op een forum de vuile was buiten. Tijd voor een grondige reorganisatie en het inhuren van echte discrete professionele It mensen.

DaaNMageDDoN @StroopP • 14 mei 2023 14:03

Zolang er green NDA is getekend en de situatie is inderdaad zo dat er veel meldingen worden gedaan, maar er niks mee gebeurd lijkt het me juist wenselijk dat mensen daar openbaar over kunnen ventileren zonder direct aan te geven hoe een lek gebruikt kan worden.

DarkMagician @DaaNMageDDoN • 14 mei 2023 16:07

En je stipt precies aan waar ik op doel. Geen van de mensen waar ik mee en voor werk heeft een NDA moeten tekenen, een VOG moeten aanleveren of iets wat ook maar enigerlei kan voorkomen dat er zaken de mist in gaan. Er is maar 1 richtlijn en dat is de prijs. Is die goed dan ben je binnen.

En de vuile was is een groot woord. Ik geef aan dat ik veel meldingen heb doorgegeven. De inhoud en de aard hiervan deel ik niet op een forum.

Zoals @StroopP al aangeeft. Ze huren nog steeds de verkeerde mensen in maar naast discretie zie ik toch ook echt wel meer normen die aangescherpt mogen worden.

lieverd 12 mei 2023 15:25

Gelukkig heb ik een auto van een merk waarbij je de navigatiesoftware nog gewoon met duurbetaalde CDs moet updaten, niks geen datalek mogelijk (spoiler: dat merk is Toyota).

jongetje

@lieverd • 12 mei 2023 15:45

Meestal stopen die updates na 4 jaar en dan zit je met een systeem waar je uiteindelijk met verouderde kaarten rondrijdt.

Marve79 @jongetje • 12 mei 2023 16:08

Die autonavigatie is sowieso altijd heel erg slecht. Ik gebruik gewoon Google Maps via Android Auto dat werkt nog altijd het beste. Als er een weg dicht is door een ongeluk ben je direct op de hoogte.

batjes

Networking en security

@Marve79 • 12 mei 2023 17:19

nvm

[Reactie gewijzigd door batjes op 29 juli 2024 18:58]

Globefrotter @Marve79 • 13 mei 2023 21:55

Bij mijn Mazda CX-5 krijg ik ook keurig te zien dat een weg door een ongeval is afgesloten of dat er wegwerkzaamheden zijn hoor. En ik krijg ook een alternatieve route aangeboden.
Dit is echt niet alleen via Android/Google/Apple.

tweaker2010 @jongetje • 12 mei 2023 16:11

Meeste kaarten zijn al verouderd op moment dat de auto de fabriek uit rijdt. Er gaat wat mij betreft niets boven Android Auto of Apple Carplay. Ook qua interface is het veel gebruiksvriendelijker en sneller.

klonic @tweaker2010 • 12 mei 2023 16:25

Ik wil al een tijd mijn Navi uit mijn auto trekken en vervangen voor een double DIN ding. Maar stuurbediening en automatisch parkeren vervalt dan al is de stuurbediening volgens mij wel te redden. Daarnaast ben ik bang dat het er gewoon niet uitziet.

Ook irritant is dat er weinig systemen te koop zijn die draadloos Apple CarPlay ondersteunen.

arnoldus1955 @klonic • 12 mei 2023 18:53

Die zijn inderdaad zo sterk geïntegreerd dat ze bijna niet meer modulair zijn.
Ik had graag gezien dat de infotainment software zelf open-bron is, en je zelf aanpassingen (of andere interface) kan draaien.

laurxp @lieverd • 12 mei 2023 16:24

Het is toch eigenlijk van de zotte dat dat uberhaupt een ding is geweest.

De overheid heeft (neem ik aan) zelf gewoon databestanden met alle wegen er in. Waarom is er nooit een standaard formaat gekomen om zelf updates te downloaden en in je navigatie te stoppen? Of, als je helemaal hip wil doen, net als file-informatie via FM de wijzigingen draadloos naar alle auto's sturen?

Met Android Auto / CarPlay is dit nu uiteindelijk redelijk opgelost, maar het blijft apart dat we dit als samenleving gewoon prima vonden.

beerse @laurxp • 12 mei 2023 17:47

Als je bedenkt dat de topografische dienst al 200 jaar, iedere 5 jaar het hele land doorkruist om alle wegen en dergelijke in kaart te brengen dan kan je beginnen met je hele aanname heel ver weg te werken. Natuurlijk maakt die dienst al jaren gebruik van luchtfoto's en satelliet gegevens. Toch wordt er iedere 5 jaar nog steeds veel handwerk verricht. Bekijk voor het publieke resultaat eens https://topotijdreis.nl/. Tegenwoordig ook met de gebruikte luchtfoto's (van de laatste paar jaar)

Misschien staat er tegenwoordig wel heel veel in databases maar dat zijn dan wel heel veel databases. En voor die gegevens zijn er gelukkig al jaren meerdere standaarden. Kijk zelf bijvoorbeeld naar de standaarden van de navigatie applicaties: Dat komt pas de laatste paar jaar een beetje naar elkaar toe maar een route gemaakt met/voor een Garmin is lastig over te zetten naar een TomTom en omgekeerd. En dat is dan nog met systemen die wel een beetje willen samenwerken.

themadone @laurxp • 12 mei 2023 16:40

eh, in mijn BMW van 2019 krijg ik gewoon OTA kaartupdates en filemeldingen/wegafsluitingen in de standaard navigatie van de auto.

Ik gebruik nog steeds google maps via wireless android auto, maar dat is meer omdat ik dat gewend ben dan omdat het alternatief niet zou voldoen.

De modernere auto's van de premium merken zijn tegenwoordig allemaal connected, dus de rest volgt vanzelf. Heeft wel veel te lang geduurt, maar het is er allemaal momenteel.

laurxp @themadone • 12 mei 2023 17:07

Maar dat is allemaal afhankelijk van BMW. Over een paar jaar trekken ze die servers offline, en heb je er niks meer aan. Of ze maken er ineens een maandelijks abonnement van.

Sterker nog, als ik dit lees, moet je al betalen voor OTA updates - en ze komen maar 4x per jaar, dus de data is alsnog achterhaald.

Marve79 @themadone • 13 mei 2023 23:14

Ik heb een tijdje met die BMW navigatie gereden die stuurde me soms 15 min verder om dan Google Maps. Werkte echt voor geen meter.

bouwfraude @lieverd • 12 mei 2023 20:33

Het is sinds 2013 al een micro SD kaartje bij Lexus. (ook duur)

robertwebbe

12 mei 2023 15:21

Ook voor privacy geldt gewoon “Kaizen”, een Japanse uitdrukking om processen voortdurend te blijven optimaliseren.

Berlinetta @robertwebbe • 12 mei 2023 15:23

Gaat heel lastig als je op I.T. vlak (bij wijze van spreken) 20 jaar achterloopt.

jochem4207 @Berlinetta • 12 mei 2023 15:26

Waren zij niet een van de eerste rondom agile?

Manuras @jochem4207 • 12 mei 2023 15:30

Ze hebben bij Toyota Kanban https://en.wikipedia.org/wiki/Kanban bedacht.

klonic @Manuras • 12 mei 2023 20:16

Het gaat verder dan Kanban, wat slechts een onderdeel is/was van Toyota Production System

Ik zou nog verder willen gaan door te zeggen dat zij de bedenkers zijn van Lean Manufacturing.

Als je kijkt naar een productielijn en ontwikkeling van een Corolla of een C klasse dan daar echt een wereld van verschil tussen. Ik ervaar in een VW vaak al meer luxe dan in een Toyota maar de duurzaamheid is een heel ander verhaal. Een Andon cord (dat elke medewerker de productie kan stoppen bij problemen) zul je vaak niet zien in een Duitse fabriek, ookal doet iedereen alsof ze aan Lean Manufacturing doen.

[Reactie gewijzigd door klonic op 29 juli 2024 18:58]

jongetje

@klonic • 12 mei 2023 20:35

Helemaal gelijk. Lean, met het gele touw komt daar vandaan. Iedereen kan/kon de productie stoppen om een procesverbetering door te voeren. Juist het idee om de werkvloer hierbij de laten helpen om inefficientie te laten constateren dan mensen op kantoor is krachtig.

[Reactie gewijzigd door jongetje op 29 juli 2024 18:58]

obimk1 @Manuras • 12 mei 2023 16:40

Heeft niks met IT te maken, waarschijnlijk zijn "kwaliteitscirkels" een voorloper daarvan. (IT = later een tool geworden)

Berlinetta @jochem4207 • 12 mei 2023 16:07

Nee het was een vraag, geen idee.

Tintel

Cartech
Bedrijfsnieuws

12 mei 2023 16:32

Er was een gebrek aan actieve detectiemechanismen en activiteiten om de aanwezigheid of afwezigheid op te merken van dingen die openbaar werden

Het vertelt verder dat er 'geen meldingen van misbruik zijn geweest'.

Dat past niet op elkaar.... als je het niet monitorde hoe weet je dan dat het niet is gebeurd?
Of bedoelen ze dat klanten niet hebben gemeld dat hun data is misbruikt? Of dat geen interactie is geweest met hun voertuig zonder dat ze dit zelf hadden ingeschakeld?
Dat zou nog kunnen. Maar gezien er enorm veel scans worden gedaan is het wel apart als het niet is opgemerkt.

Het helpt natuurlijk wel tegen probleem van ransomware "Als u niet betaalt dan gooien we uw data op straat" - "Geen probleem dat doen we zelf al 10 jaar"

En als ze het versleutelen zodat Toyota er zelf niet meer bij kan "Geen probleem, genoeg sites die wel een recente backup hebben"

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (61)

Sorteer op:

Weergave: