豐田汽車公司日前披露了一起云環(huán)境數(shù)據(jù)暴露事件，包括近十年的車輛位置信息、近七年的車外視頻記錄等敏感數(shù)據(jù)，影響了超200萬輛汽車。

安全內(nèi)參5月15日消息，豐田汽車公司披露了一起云環(huán)境數(shù)據(jù)暴露事件，從2013年11月6日至2023年4月17日十年間，共有215萬客戶的車輛位置信息持續(xù)暴露。

根據(jù)豐田公司日本新聞編輯室發(fā)布的安全通告，此次事件是因?yàn)閿?shù)據(jù)庫配置錯(cuò)誤，任何人無需密碼即可訪問泄露內(nèi)容。

通告稱，“由于云環(huán)境配置錯(cuò)誤，豐田汽車公司委托豐田互聯(lián)公司管理的部分?jǐn)?shù)據(jù)已被公開?！?/span>

“發(fā)現(xiàn)該事件后，我們已采取措施防止外部訪問，目前仍在繼續(xù)開展調(diào)查，包括由豐田互聯(lián)公司管理的所有云環(huán)境。對(duì)于給我們客戶和相關(guān)方造成的極大不便和擔(dān)憂，我們深表歉意?！?/span>

暴露信息包括車輛位置及視頻

此次事件暴露了2012年1月2日至2023年4月17日期間，使用豐田T-Coneect G-Link、G-Link Lite及G-BOOK服務(wù)的客戶信息。

T-Connect是豐田公司的車載智能服務(wù)，包括語音輔助、客戶服務(wù)支持、汽車狀態(tài)與管理，以及道路緊急救援等功能。

數(shù)據(jù)庫配置錯(cuò)誤所暴露的具體信息涵蓋：

• 車載GPS導(dǎo)航終端ID號(hào)；

• 車架編號(hào)；

• 帶有時(shí)間數(shù)據(jù)的車輛位置信息。

盡管沒有證據(jù)表明數(shù)據(jù)被濫用，但未經(jīng)授權(quán)的用戶可能已經(jīng)訪問到這批歷史數(shù)據(jù)，從而掌握215萬輛豐田汽車的實(shí)時(shí)位置。

值得注意的是，暴露的詳細(xì)信息中不涉及個(gè)人身份信息，因此除非攻擊者知曉目標(biāo)車輛的VIN（車輛識(shí)別碼），否則無法使用此數(shù)據(jù)來跟蹤具體個(gè)人。

汽車的VIN碼也稱車架號(hào)，獲取難度并不算高，因此理論上具有惡意動(dòng)機(jī)并能夠物理接觸目標(biāo)車輛的人，完全可以利用這十年間的暴露數(shù)據(jù)實(shí)現(xiàn)車輛跟蹤。

豐田在“Toyota Connected”網(wǎng)站上發(fā)布的第二份聲明，還提到車外拍攝的視頻記錄在此次事件中暴露的可能性。

視頻記錄的潛在暴露周期在2016年11月14日至2023年4月4日，前后持續(xù)近七年。

同樣，這些視頻的暴露不會(huì)嚴(yán)重影響車主隱私，但實(shí)際后果仍取決于條件、時(shí)間和地點(diǎn)等因素。

豐田公司承諾向受到影響的客戶單獨(dú)發(fā)送致歉通知，并設(shè)立專門的呼叫中心來處理這部分車主的查詢和請(qǐng)求。

2022年10月，豐田曾就另一起長期數(shù)據(jù)暴露事件向客戶發(fā)出通報(bào)，原因是其在公共GitHub庫上公開了T-Connect客戶數(shù)據(jù)庫的訪問密鑰。

受到該起事件影響的客戶總計(jì)29.6019萬名，在豐田公司阻斷對(duì)相關(guān)GitHub庫的外部未授權(quán)訪問后，事件周期最終定格在了2017年12月至2022年9月15日。