Хакер #305. Многошаговые SQL-инъекции
В середине мая Toyota Motor Corporation обнаружила, что один из ее облачных сервисов на протяжении 10 лет раскрывал информацию о 2 млн автомобилей и их владельцах. Теперь выяснилось, что личную информацию о владельцах авто «сливали» еще два неправильно настроенных облачных сервиса, и это длилось около 7 лет.
После обнаружения первой утечки японский автопроизводитель провел тщательное расследование всех облачных сред, управляемых Toyota Connected Corporation. В итоге в компании сообщили, что «часть данных, содержащих информацию о клиентах, была потенциально доступна извне».
Первый облачный сервис «сливал» личную информацию клиентов Toyota в Азии и Океании в период с октября 2016 года по май 2023 года. База данных, доступ к которой должны были иметь только дилеры и поставщики услуг, по ошибке оказалась доступна всем желающим, что привело к утечке следующей информации о клиентах:
- адрес;
- имя;
- номер телефона;
- адрес электронной почты;
- ID клиента;
- регистрационный номер автомобиля;
- идентификационный номер автомобиля (VIN).
В компании не уточняют, сколько клиентов пострадало от этой утечки.
Второй облачный сервис был открыт всем желающим в период с 9 февраля 2015 года по 12 мая 2023 года и содержал данные, связанные с автомобильными навигационными системами, включая информацию об обновлении картографических данных и даты создания данных (без информации о местонахождении автомобиля).
Известно, что эта утечка затронула примерно 260 000 клиентов в Японии, которые были подписчиками навигационной системы G-BOOK с помощью G-BOOK mX или G-BOOK mX Pro, а также тех, кто подписался на G-Link/G-Link Lite и обновлял карты с помощью службы Toyota on Demand в период с 9 февраля 2015 года и 31 марта 2022 года.
Среди затронутых автомобилей: Lexus LS, GS, HS, IS, ISF, ISC, LFA, SC, CT и RX, проданные в период с 2009 по 2015 год.
Toyota сообщает, что записи автоматически удалялись из облачной среды через некоторое время, поэтому в каждый момент времени в базе было доступно весьма ограниченное количество данных. Также подчеркивается, что даже если к данным был получен извне, их бы не хватило для идентификации владельца авто или получения доступа к системам автомобиля.
Представители автогиганта заявляют, что теперь компания внедрила систему, которая регулярно отслеживает облачные конфигурации и настройки БД во всех средах, чтобы предотвратить подобные утечки в будущем.