丰田汽车公司警告客户,在一个访问密钥在GitHub上公开近5年后,他们的个人信息可能被意外曝光。
丰田发现,其T-Connect网站的部分源代码被错误地发布在GitHub上。T-Connect是该公司开发的一个应用程序,允许车主控制车辆的信息娱乐系统并监控车辆的访问情况。该代码还包含了存储客户信息的数据服务器的访问密钥,如电子邮件地址和管理号码。源代码是由一个开发分包商泄露的。
一个未经授权的第三方可能在2017年12月至2022年9月15日期间获得了丰田客户的详细信息。受影响的客户数量为296,019人,GitHub存储库在2022年9月受到限制,密钥被更改。暴露的记录包括客户姓名、信用卡数据和电话号码没有被泄露,因为它们没有存储在暴露的数据库中。虽然没有数据被盗用的迹象,但不能排除有人访问和盗用数据的可能性。
黑客攻击导致数据泄露
近年来,丰田汽车频频遭受黑客和勒索组织攻击,并导致发生了多次数据泄露事件。
2022年3月,丰田旗下子公司-日本电装株式会社(以下简称“电装”)遭遇勒索软件攻击,有大量的内部资料被黑客获取。在此之前,一个名为“Pandora”的黑客组织称已经入侵电装公司,并获取超过15.7万份订购单、邮件和设计图纸等总共1.4TB的资料,同时该组织威胁电装称,如果不按要求支付赎金,将在暗网公布这些数据。
此外,在2019年,丰田还因黑客入侵服务器,访问部分销售子公司的数据,导致出现严重数据泄露事件,高达310万客户的信息被攻击者窃取。受影响的子公司包括丰田东京销售控股公司、东京汽车、东京丰田、丰田东京卡罗拉、丰田东京销售网络、雷克萨斯Koishikawa Sales公司、Jamil Shoji及丰田西东京卡罗拉。
在这起用户信息泄露事件中,丰田汽车强调,客户的财务细节并未存储在被黑客攻击的服务器上,也未披露黑客可能访问了哪些类型的数据。
这也是丰田2019年第二次出现网络安全事件。在2019年2月,丰田还曾披露了另外一起网络攻击事件,影响其澳大利亚分公司。将两次攻击相比较,澳大利亚分公司受到的攻击更具破坏性,对澳大利亚公司处理销售和交付造成了影响。一些行业专家认为攻击是APT32 (OceanLotus)所为,这是一家越南网络间谍机构,以专注于汽车行业而闻名。
部署SSL证书,实现HTTPS传输加密
为了保证数据的加密性更强,传输更安全,在明文传输协议HTTP基础上加入SSL证书,就能很好的提升数据的安全性,也就是HTTPS协议。HTTPS是当前应用最普遍的安全通信协议,可为企业网站提供三层防护。
数据加密传输:对交换数据进行加密,避免他人窥视。
这意味着用户在浏览网站的期间,当用户与网站进行数据交换的时候,第三方无法跟踪及窃取其中的数据。
完整性保护:确保数据交换的完整性
数据传输期间,第三方是无法通过任何工具检测或篡改已受保护的信息数据,从而保障数据真实完整、防篡改。
身份验证:用户可对网站的真实进行验证
可帮助用户辨明网站的真实身份,免受中间的攻击或误入钓鱼网站,建立用户对网站的网站真实性的信任。
当前,HTTPS依然是非常有效的流量劫持防范措施之一,无论是网络服务提供商还是广大网民,为保障自己的帐户安全和个人权益,都要形成使用HTTPS访问网站的习惯和意识,重要的网站更要及时部署权威机构颁发的SSL证书,才能确保网站关键数据的安全和完整。
领取优惠
提交成功!