Le constructeur automobile japonais Toyota a révélé que son environnement cloud avait subi une violation de données qui a exposé les informations de localisation des voitures de ses clients pendant une décennie.
Selon un nouveau rapport de BipOrdinateur (s’ouvre dans un nouvel onglet)environ 2,15 millions de clients Toyota ont vu les données de localisation de leurs voitures exposées entre le 6 novembre 2013 et le 17 avril 2023.
Dans un avis de sécurité (s’ouvre dans un nouvel onglet) publié sur son site japonais, Toyota a fourni plus de détails sur la violation de données. La société a cité un mauvaise configuration de la base de données qui permettait à quiconque d’accéder aux données de localisation de la voiture de ses clients sans avoir à saisir de mot de passe.
Heureusement, l’entreprise a maintenant corrigé son environnement cloud et correctement sécurisé ces informations sensibles à l’aide d’un mot de passe. Cependant, Toyota mène toujours des enquêtes sur la question pour voir si l’une des données exposées a été utilisée à mauvais escient.
Données de localisation en temps réel
Cette violation de données a conduit à des informations de localisation des clients qui ont utilisé les services T-Connect G-Link, G-Link Lite ou G-Book de Toyota entre le 2 janvier 2012 et le 17 avril 2023.
Pour ceux qui ne sont pas familiers, T-Connect est le service intelligent embarqué de la société qui peut être utilisé pour l’assistance vocale, le service client, l’état et la gestion de la voiture ainsi que l’aide d’urgence sur la route.
le constructeur automobile japonais a également révélé que des enregistrements vidéo pris à l’extérieur des voitures concernées pourraient avoir été exposés lors de la brèche
Bien qu’il n’y ait aucune preuve que les informations exposées aient été utilisées à mauvais escient, des pirates informatiques ou toute autre personne auraient pu obtenir les numéros d’identification des terminaux de navigation GPS embarqués, les numéros de châssis et les informations de localisation des véhicules avec les données temporelles de l’un des véhicules concernés.
En même temps, informations personnellement identifiables comme les permis de conduire, les adresses et les numéros de téléphone n’ont pas été exposés à la suite de la violation. Cela signifie qu’il ne serait pas possible de suivre les propriétaires de Toyota en utilisant les informations exposées à moins qu’un attaquant ne connaisse le numéro d’identification du véhicule (VIN) de leur voiture.
Dans un deuxième déclaration (s’ouvre dans un nouvel onglet) sur son site « Toyota Connected », le constructeur automobile japonais a également révélé que des enregistrements vidéo pris à l’extérieur des voitures concernées pourraient avoir été exposés lors de la brèche.
Perspectives : Violation de données chez Toyota
Contrairement à d’autres violations de données plus graves où des informations personnelles et des détails financiers ont été exposés, la violation de données de Toyota n’aura probablement pas d’impact sur la vie privée de ses clients. Cependant, l’affaire ne semble pas bonne pour l’entreprise, d’autant plus que la violation s’est produite en raison d’un environnement cloud mal configuré.
Pour rectifier les choses avec les clients concernés, Toyota a promis d’envoyer des avis d’excuses individuels tout en mettant en place un centre d’appels dédié pour traiter leurs questions et demandes. Il ne fournira probablement pas un accès gratuit au meilleure protection contre le vol d’identité car les informations qui pourraient être utilisées pour commettre une fraude ou un vol d’identité n’ont pas été exposées.
Nous en entendrons probablement plus de Toyota une fois son enquête sur la violation de données terminée. Il y a également de fortes chances que l’entreprise soit passible d’amendes de la part des régulateurs, car il s’agissait d’une erreur de leur part et non du travail de pirates.