Toyota พบเซิร์ฟเวอร์ที่กำหนดค่าผิดพลาด เป็นสาเหตุให้ข้อมูลลูกค้ารั่วไหล

288/66 (IT) ประจำวันศุกร์ที่ 2 มิถุนายน 2566

Toyota Motor Corporation ค้นพบบริการคลาวด์อีก 2 รายการที่มีการกำหนดค่าผิดพลาด ที่ทำให้ข้อมูลส่วนบุคคลของเจ้าของรถรั่วไหลมานานกว่าเจ็ดปี ซึ่งการค้นพบนี้เกิดขึ้นหลังจากที่ Toyota มีการตรวจสอบคลาวด์ที่ดูแลจัดการโดย Toyota Connected Corporation ทั้งหมดอย่างละเอียด เนื่องจากก่อนหน้านี้พบเซิร์ฟเวอร์ที่กำหนดค่าผิดพลาดที่เปิดเผยข้อมูลตำแหน่งที่ตั้งของลูกค้ากว่า 2 ล้านรายเป็นระยะเวลา 10 ปี

บริการคลาวด์แรกเป็นการเปิดเผยข้อมูลส่วนบุคคลของลูกค้าโตโยต้าอยู่ในช่วงระหว่างเดือนตุลาคม 2559 ถึงพฤษภาคม 2566 ที่ฐานข้อมูลซึ่งตัวแทนจำหน่ายและผู้ให้บริการเท่านั้นที่สามาถเข้าถึงได้ แต่กลับถูกเปิดเผยต่อสาธารณะโดยมีข้อมูลที่รั่วไหลดังต่อไปนี้ ที่อยู่ ชื่อ หมายเลขโทรศัพท์ อีเมล รหัสลูกค้า หมายเลขทะเบียนรถ หมายเลขประจำตัวรถ (VIN) โดย Toyota ไม่ได้ชี้แจงว่ามีลูกค้าจำนวนเท่าใดที่ได้รับผลกระทบจากการที่มีข้อมูลรั่วไหล

บริการคลาวด์ที่สองเป็นการเปิดเผยข้อมูลระหว่างวันที่ 9 กุมภาพันธ์ 2558 ถึง 12 พฤษภาคม 2566 โดยเป็นข้อมูลที่มีความละเอียดอ่อนเกี่ยวกับระบบนำทางของรถยนต์ รวมถึงรหัสอุปกรณ์ในรถยนต์ การอัปเดตข้อมูลแผนที่ และวันที่สร้างข้อมูลของลูกค้าประมาณ 260,000 รายในญี่ปุ่น โดยการรั่วไหลข้อมูลนี้ส่งผลกระทบต่อลูกค้าที่สมัครใช้ระบบนำทาง G-BOOK ด้วย G-BOOK mX หรือ G-BOOK mX Pro และที่สมัคร G-Link / G-Link Lite ซึ่งรถยนต์ที่ได้รับผลกระทบเป็นรุ่นของแบรนด์ย่อยในเครือ Toyota คือ Lexus และรวมถึงรถยนต์รุ่น LS, GS, HS, IS, ISF, ISC, LFA, SC, CT และ RX ที่จำหน่ายระหว่างปี 2552-2558

Toyota กล่าวว่าได้ใช้ระบบตรวจสอบการกำหนดค่าคลาวด์และการตั้งค่าฐานข้อมูลอย่างสม่ำเสมอเพื่อป้องกันการรั่วไหลข้อมูลในอนาคต

แหล่งข่าว ( https://www.bleepingcomputer.com/news/security/toyota-finds-more-misconfigured-servers-leaking-customer-info/ )