Toyota lekt opnieuw klantgegevens door onbeveiligde clouddatabase

Toyota laat weten dat er gegevens van nog eens 260.000 Japanse klanten jarenlang openbaar stonden vanwege een fout in het cloudsysteem. Het bedrijf ontdekte het lek na een onderzoek naar aanleiding van een andere onbeveiligde database met gegevens van twee miljoen klanten.

De gegevens waren 'potentieel extern toegankelijk vanwege een verkeerde configuratie' in het cloudsysteem, schrijft Toyota in een post op zijn site. Het gaat om gegevens van Japanse klanten die hun auto op zijn vroegst in december 2007 hebben gekocht. Deze stonden tussen februari 2015 en mei 2023 openbaar. Het betreffen kaartgegevens en ID's van de G-Book- en G-Link-navigatiesystemen in de auto. Volgens Toyota is die informatie niet genoeg om individuele gebruikers te identificeren. Ook bevatten de gegevens geen voertuiglocaties.

Daarnaast zijn gedurende dezelfde periode van een ongenoemde hoeveelheid gebruikers in een aantal landen in Oceanië en Azië, exclusief Japan, persoonlijke gegevens openbaar komen te staan. Dat wordt eveneens aan een databasemisconfiguratie geweten. De precieze gegevens verschillen per klant, maar het kan gaan om adressen, namen, telefoonnummers, e-mailadressen, klant-ID's, en registratie- en identificatienummers van voertuigen, laat Toyota weten.

Het bedrijf zegt voor beide gevallen geen bewijs gevonden te hebben dat er ook daadwerkelijk gegevens zijn ingezien of gekopieerd. Inmiddels zijn de lekken volgens de fabrikant gedicht.

Vorige maand meldde Toyota dat de database van een van zijn clouddiensten tien jaar lang online stond zonder wachtwoord. In die database staat informatie van 2,15 miljoen Japanse klanten die Toyota's T-Connect-dienst gebruiken. Het bedrijf heeft naar aanleiding van dat lek een onderzoek gestart naar zijn andere cloudomgevingen, waardoor deze twee aanvullende lekken werden ontdekt. Inmiddels heeft het bedrijf naar eigen zeggen een systeem geïmplementeerd dat cloudconfiguraties monitort.

Door Kevin Krikhaar

Redacteur

Feedback • 01-06-2023 09:12
32 • submitter: Anonymoussaurus

01-06-2023 • 09:12

32

Submitter: Anonymoussaurus

Lees meer

Toyota bevestigt cyberaanval waarbij 240GB aan data is buitgemaakt
Toyota bevestigt cyberaanval waarbij 240GB aan data is buitgemaakt Nieuws van 20 augustus 2024
Shell erkent datalek onbeschermde klantengegevens Recharge-laadpalen - update
Shell erkent datalek onbeschermde klantengegevens Recharge-laadpalen - update Nieuws van 9 juni 2023
Toyota-database met data van 2 miljoen klanten stond 10 jaar openbaar online
Toyota-database met data van 2 miljoen klanten stond 10 jaar openbaar online Nieuws van 12 mei 2023
Gegevens van 296.000 Toyota-klanten uitgelekt via websitebroncode op GitHub
Gegevens van 296.000 Toyota-klanten uitgelekt via websitebroncode op GitHub Nieuws van 11 oktober 2022
Toyota legt autoproductie in Japan tijdelijk stil na cyberaanval bij leverancier
Toyota legt autoproductie in Japan tijdelijk stil na cyberaanval bij leverancier Nieuws van 1 maart 2022
Meer producten en artikelen
Networking en security Bedrijfsnieuws Cartech Toyota Datalek Japan

Reacties (32)

-Moderatie-faq
32
32
16
0
0
8
Wijzig sortering
Risce 1 juni 2023 09:23
Het bedrijf zegt voor beide gevallen geen bewijs gevonden te hebben dat er ook daadwerkelijk gegevens zijn ingezien of gekopieerd.
Als iets 8 jaar lang onbeveiligd online te vinden is, dan kun je er rustig vanuit gaan dat het ingezien en gekopieerd is door 1 of meerdere partijen. Dat 'bewijs' vinden is een kwestie van daadwerkelijk zoeken, maar als je niet goed zoek, dan kun je ook zeggen dat er 'geen bewijs gevonden is'.
Grauw @Risce1 juni 2023 09:29
Als je geen access logs bijhoudt, of maar voor beperkte duur, dan vraag ik me af of dergelijk bewijs überhaupt vindbaar is.
SVMartin @Risce1 juni 2023 09:32
Het kan natuurlijk ook zo zijn dat er logs een jaar worden bewaard en er met de logs en kennis van vandaag geen bewijs gevonden kan worden. Er valt dan niet te bewijzen dat dit eerder wel zo was.

Neemt niet weg dat een pentest of vulnerability scan dit wellicht wel (eerder?) Had kunnen vinden. Nalatig? Wellicht, maar de risico analyse afwegingen kennen wij niet.

Wel lijkt Toyota transparant te zijn, en gelukkig ook na het eerste lek verder te kijken. Dat is toch ook een kwaliteit welke je niet bij elke organisatie vind.
PhanToM__ @SVMartin1 juni 2023 13:14
Als Toyota onder het AVG valt, zijn ze praktisch verplicht om hier transparant over te zijn omdat het over persoonlijke gegevens gaan, waar men de identiteit kan achterhalen.
Datalek: melden of niet melden?
Olaf van der Spek @Risce1 juni 2023 10:19
dan kun je ook zeggen dat er 'geen bewijs gevonden is'.
Inderdaad: Absence of Evidence does not mean Evidence of Absence
obimk1 @Risce1 juni 2023 10:33
Autotechnisch ingenieur met eigen ervaring.

Een aantal autofabrikanten zijn zwaar idioot met IT.

Zoek maar naar: "killer firmware for cars"

Laatste Toyota "nieuws over IT" => 23 Mei.
Stukfruit 1 juni 2023 09:37
"As we believe that this incident also was caused by insufficient dissemination and enforcement of data handling rules, since our last announcement, we have implemented a system to monitor cloud configurations. Currently, the system is in operation to check the settings of all cloud environments and to monitor the settings on an ongoing basis. In addition, we will work closely again with TC to explain and thoroughly enforce the rules for data handling. We will also work to prevent a recurrence by thoroughly educating our employees once again. We sincerely apologize to our customers and all relevant parties for any concern and inconvenience this may have caused."
Uit het gelinkte artikel. Educating employees en het monitoren van instellingen zijn lapmiddelen omdat ze actief moeten worden toegepast en deels pas nut heeft nadat er iets misgaat.

Wat ik als mogelijke klant zou willen weten: houdt "thoroughly enforce the rules for data handling" in dat ze het bijvoorbeeld moeilijker maken om onbeveiligde databases te gebruiken door dit intern af te dwingen, of krijgen we volgend jaar weer een nieuw lek omdat de stagiair niet goed heeft geluisterd en voor de Toyota wordt gegooid?
ctrl-tab @Stukfruit1 juni 2023 09:43
Ze zouden dit soort problemen prima kunnen voorkomen...
Door bijvoorbeeld checks in pipelines te bakken... (bv checkov, terraform sentinel).

Maar als hun engineers gewoon clicky-clicky databases aanmaken in de cloud, is het wachten totdat er weer iemand iets publiek zet... dan kan je monitoren, maar dan ben je per definitie te laat.
Stukfruit @ctrl-tab1 juni 2023 10:12
Dat is inderdaad deels wat ik bedoelde :) Maar nieuwe producten ontstaan te vaak als MVP en doen niet direct aan CI/CD, IaC of PaC. Dus hoe gaan ze het verder voorkomen?
ctrl-tab @Stukfruit1 juni 2023 11:02
ls je geen changes toelaat op je cloud omgeving buitenom de pipelines en policy ben je er? Kwestie van goed opzetten vooraf.

Maarja, als je je cloud platform zelf gaat mvp'en, dan moet je uit gaan van de mensen ;)
ctrl-tab @Stukfruit1 juni 2023 11:13
ook als het een nieuwe dienst is kan je risico lopen (nog niet gecovered door de policies). dus het blijft een beetje mensenwerk
Antenne Bayern 1 juni 2023 10:06
Dit artikel zegt nu eigenlijk.. jongens koop een 'domme' auto die geen connected internet heeft.
Frame164 @Antenne Bayern1 juni 2023 10:16
Schrijft ie vanaf een connected device waar ook van alles mee kan gebeuren....
Keyb @Frame1641 juni 2023 13:19
Whataboutism krijgt weer eens 11 keer +2
Vuvuzela @Keyb1 juni 2023 16:12
En dan is het moderatiesysteem zelf ook nog gemodereerd.. ;(
lenwar
@Antenne Bayern1 juni 2023 10:36
Want met een domme auto kom je niet in hun klantensysteem?
Orgel @lenwar1 juni 2023 13:06
Als het geen Toyota is nee
lenwar
@Orgel1 juni 2023 13:09
:|
jongetje @Antenne Bayern1 juni 2023 10:40
Dat staat er niet. Er staat dat de database open stond voor iedereen waarin de data staat over het navigatiesysteem.

Verder wordt de beveiliging alleen maar belangrijker nu er naast navigatie en verkeers updates in autos ook in huishoudens steeds meer "slimme" Lees: met het internet verbonden) apparaten komen. Van cv-ketels, airco's, verlichting, vaatwassers, wasmachines, ovens tot koffiemachines.
MeltedForest @Antenne Bayern1 juni 2023 10:16
Dankzij Europese regels worden die niet meer gemaakt.. Elke nieuwe auto sinds 2018 heeft verplicht een emergency call systeem.
2Keys @MeltedForest1 juni 2023 12:12
Als je door eCar vind dat een auto connected is gaat dat wel wat ver. Of wil je ook geen GPS en radio meer?
3raser @2Keys1 juni 2023 13:40
Het is maar wat je onder connected verstaat. GPS en radio is alleen ontvangen en niet verzenden. Een emergency call is tweezijdig verkeer.
LeFlavius @2Keys1 juni 2023 12:33
Prima. GPS kun je aftermarket installeren (of een zuignap voor je telefoon kopen), radio is niet nodig. What a loss.
batjes
@MeltedForest1 juni 2023 10:27
Ligt er een beetje aan wanneer het type is goedgekeurd, mijn Aygo 2018 model heeft dat namelijk niet en die is in 2021 geproduceerd.
bursche @Antenne Bayern1 juni 2023 13:11
Dat moet je sowieso doen. Zal nooit zo'n connected vehicel aanschaffen. Ik geloof niet dat elektrisch rijden per se moet betekenen dat je ook op alle mogelijke manieren uitgebuit dient te worden. Het een kan prima zonder het ander, het vergt alleen een ander systeemontwerp.
Gelomidor1 @Antenne Bayern1 juni 2023 14:11
Tis wel super handig die carplay, navigeer naar Ikea duiven, en bam google maps laat je de route zien. Flitsmeister erbij en dat alles in 1 snel schermpie. ben erg blij met die draadloze carplay van Toyota.
Finraziel 1 juni 2023 09:59
Nee, ze melden opnieuw een lek, dat is wat anders dan dat er opnieuw wat lekt. Ze zijn nu gewoon alles na aan het lopen en zien dat er meer niet goed stond dan eerder bekend.
Beetje suggestieve titel zo...
Technics SA-DA8 1 juni 2023 10:12
Titel suggereert wat anders dan daadwerkelijk is.Het lek was er al en is door Toyota ontdekt na wat er vorige maand al ontdekt was.Het nalopen van hun eigen syteem op meer "lekken" is alleen maar goed zodat het alsnog beveiligd kan worden wat nog niet bekend was.
ultimasnake 1 juni 2023 12:07
Ben ik de enige die ‘lekt opnieuw’ erg clickbaity vindt? Er blijkt opnieuw dat er gegevens openbaar bereikbaar waren maar lijkt voort te vloeien uit een eerder incident. Opnieuw doet mij denken dat ze hun les niet hebben geleerd maar schijnbaar zijn ze juist nu alles van die les aan het uitzoeken/fixen en is dit een melding dat iets gaande is/was?
JeroenH 1 juni 2023 11:44
Tsja. De tweedehands Prius die ik bij Toyota kocht zat ook nog vol met gegevens van de vorige eigenaresse. Niet netjes. Ik heb het leeggemaakt en over gegaan tot de orde van de dag.
Arfman @JeroenH1 juni 2023 12:33
Mooi, maar dat heeft eigenljik niets te maken met dit artikel.
Technics SA-DA8 @JeroenH1 juni 2023 13:28
Vind het juist van de eigenaresse niet netjes dat ze de gegevens niet verwijderde.Toyota zou dit eigenlijk voor aflevering/proefrit al moeten leeghalen om het goed te houden.
Het is net als met je telefoon...die haal je ook leeg voordat je die doorverkoopt dus de verantwoording ligt in 1e instantie bij de eigenaar.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq