Toyota lekt gegevens 296.000 klanten via broncode in publiek GitHub-account
Toyota heeft de gegevens van meer dan 296.000 klanten gelekt nadat broncode van een Toyota-website jarenlang via een publiek GitHub-account beschikbaar was. De broncode bevatte een key waarmee toegang tot de server kon worden verkregen waarop de klantgegevens stonden. Het gaat om het e-mailadres en klantnummer die Toyota-klanten bij de registratie op de Toyota Connect-website hadden ingevuld.
Toyota Connect is een app waarmee autobezitters allerlei informatie over hun voertuig kunnen inzien. Het bedrijf dat de website voor Toyota Connect ontwikkelde had een deel van de broncode op ontwikkelaarsplatform GitHub geplaatst. Het betreffende GitHub-account was echter publiek, waardoor iedereen van december 2017 tot 15 september 2022 toegang tot de geüploade broncode kon krijgen.
In de broncode stond een key waarmee er toegang tot de dataserver kon worden verkregen waarop het e-mailadres en klantnummer van 296.000 klanten stonden. Volgens Toyota heeft de webontwikkelaar de regels voor het omgaan met broncode geschonden door die naar een publiek GitHub-account te uploaden. Iets dat het bedrijf pas op 15 september van dit jaar ontdekte. Toyota zal alle gedupeerde klanten nu waarschuwen.
Dit had lang en breed voorkomen kunnen worden door als bedrijf een eigen privé Github te creëren en te onderhouden, desbetreffende bedrijf toe te laten tot een private instaande bij Toyota Group en vervolgens daar coderen.
Nee, dit had NOOIT mogen gebeuren en had bij mijn kennis en weten lang en breed voorkomen kunnen worden.
Jammer dat het 5 jaar heeft geduurd....
Dat is ook grappig, maar ook heel erg...
Verder zou die sleutel nooit in de broncode moeten staan, dat hoort in een (goed afgeschermd) configuratiebestand thuis of een andere bron te hebben die op runtime wordt gelezen. Maar goed, ik ben functiescheiding gewend: een ontwikkelaar heeft helemaal geen toegang tot de operationele omgeving (en dus ook niet tot die sleutel die nu in de broncode staat), en beheerders ontwikkelen niet.
Mogelijk, maar misschien dacht die developer gewoon dat het op private stond, en is de key verschillende keren ge-update.
Zo goed als alle repo's die je in een commercieel bedrijf zoals dit gebruikt zijn private. Als het fout is ingesteld en je gebruikt niet de website van github zelf maar een andere git client, is het waarschijnlijk niet altijd even goed zichtbaar hoe de repo is ingesteld. Dat die key niet veranderd zou zijn is gewoon een aanname.
Verder vindt ik het natuurlijk nalatigheid. Als je voor een commercieel software bedrijf werkt ga je niet die code op je eigen github plaatsen.
Wat ik wel ga doen is een AVG inzageverzoek indienen voor de gegevens die mijn auto over mij registreert.
Dit had lang en breed voorkomen kunnen worden door als bedrijf een eigen privé Github te creëren en te onderhouden, desbetreffende bedrijf toe te laten tot een private instaande bij Toyota Group en vervolgens daar coderen.
Nee, dit had NOOIT mogen gebeuren en had bij mijn kennis en weten lang en breed voorkomen kunnen worden.
Jammer dat het 5 jaar heeft geduurd....
5 jaar ?? Ik kom regelmatig keys tegen die de afgelopen 10 kaar niet gewijzigd zijn. Dan vraag je eigenlijk af waarom mensen aluminium folie krankzinnig zijn en nergens meer hun gegevens invullen. Nou daarom dus, iedere mafkees die anders denkt houdt het nieuws maar in de gaten de gatenkaas en de psychose zal steeds groter en erger worden. Allemaal noonbas le security da Emporio!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.