Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Zugangsdaten: Toyota meldet Datenleck durch auf Github geladenen Schlüssel

Fünf Jahre waren Zugangsdaten zu rund 300.000 E-Mail-Adressen von Kunden öffentlich auf Github . Einen Missbrauch kann Toyota nicht ausschließen.
/ Moritz Tremmel
4 Kommentare News folgen (öffnet im neuen Fenster)
Ein Fahrzeug von Toyota (Bild: Admiral_Lebioda/Pixabay)
Ein Fahrzeug von Toyota Bild: Admiral_Lebioda/Pixabay

Der Autohersteller Toyota warnt seine Kunden vor einem Datenleck, bei dem Dritte persönliche Daten der Kunden einsehen konnten. Ursache ist ein Zugangsschlüssel, der fast fünf Jahre öffentlich zugänglich auf Github war.

Demnach entdeckte Toyota kürzlich, dass ein Teil des Quellcodes der T-Connect-Webseite versehentlich auf Github veröffentlicht wurde. Bei T-Connect handelt es sich um die offizielle Konnektivitäts-App des Automobilherstellers. Diese ermöglicht es Besitzern von Toyota-Fahrzeugen, ihr Smartphone mit dem Infotainment-System des Fahrzeugs zu verbinden, beispielsweise um Anrufe zu tätigen, Musik zu hören oder zu navigieren. Auch Daten wie Motorstatus, Kraftstoffverbrauch oder Fahrdaten lassen sich darüber abrufen.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

In den Daten auf Github war auch ein Zugangsschlüssel zum Datenbankserver, auf dem die E-Mail-Adressen und weitere persönliche Daten der Kunden gespeichert wurden, enthalten. Dadurch konnten Dritte zwischen Dezember 2017 und dem 15. September 2022 – das ist der Tag, an dem das Github-Repository eingeschränkt wurde – auf die Daten von 296.019 Kunden zuzugreifen.

Am 17. September wurden zudem die Zugangsschlüssel für die betroffene Datenbank geändert. Laut Toyota sollen die Namen, Kreditkarteninformationen sowie die Telefonnummern der Kunden nicht in der exponierten Datenbank gespeichert sein.

Zugriff auf die Daten kann nicht ausgeschlossen werden

Toyota machte zwar einen Zulieferer für den Fehler verantwortlich, übernahm jedoch die Verantwortung für den falschen Umgang mit Kundendaten, wie das Onlinemagazin Bleepingcomputer berichtete(öffnet im neuen Fenster) . Nach einer Untersuchung des Vorfalles kommt Toyota zu dem Schluss, dass es keine Anzeichen für einen Datenmissbrauch gebe, man einen unrechtmäßigen Zugriff aber auch nicht ausschließen könne.

Vorsichtshalber sollten T-Connect-Nutzer, die sich zwischen Juli 2017 und September 2022 registriert haben, besonders auf Phishing-Nachrichten achten und keine E-Mail-Anhänge von unbekannten Absendern öffnen, rät Toyota. Dass Firmen und Entwickler unabsichtlich Zugangsdaten in Konfigurationsdateien auf Webservern oder in Repositorys vergessen, passiert leider immer wieder . So veröffentlichte beispielsweise auch das Unternehmen Solarwinds ein Passwort auf Github .

Zur Startseite 4 Kommentare

Relevante Themen

SoftwareSoftwareentwicklungSecuritySicherheitslückeMobilitätAutoDatenleck