日本丰田汽车(Toyota Motor)上周披露,该公司的承承包商在把部分T-Connect服务程序代码上传至GitHub的公开存储库时,不慎于程序代码中附带了访问密钥,使得第三方得以访问该数据库服务器,造成296,019名车主的资料外泄,但外泄的只有这些车主的电子邮件与独特的T-Connect管理号码,至于姓名、电话或信用卡等资讯都未受到影响。
根据Toyota的调查,该含有访问密钥的源码是在2017年12月,由开发T-Connect网站的承承包商所上传,虽然它违反了Toyota的资料处理规定,但Toyota一直到今年的9月15日才发现此事,当天即把该存储库设为私密。而在这期间,已有一第三方访问了该程序代码,可借由程序代码中的密钥访问资料服务器。
T-Connect为Toyota所打造的移动程序,支持Android与iOS设备,可连接汽车上的资讯娱乐系统,并分享汽车位置、设置停车模式,还能侦测意外并主动回应,受害者必须曾是以电子邮件订阅T-Connect服务的车主。
虽然包括车主姓名或电话号码等重要资讯并未外泄,但Toyota依旧提醒T-Connect用户应该要提供警觉,以防黑客利用这些外泄的邮件账号展开网络钓鱼攻击。