Ein schwerwiegendes Datenschutzproblem hat den japanischen Automobilhersteller Toyota getroffen. Wie das Unternehmen kürzlich bekannt gab – war ein Zugangsschlüssel zu einem Datenserver fast fünf Jahre lang öffentlich auf GitHub verfügbar. Die betroffenen Daten gehörten zur T-Connect-App die es Fahrzeugbesitzern ermöglicht, ihr Smartphone mit dem Infotainment-System ihres Toyota-Fahrzeugs zu verbinden. Durch den Schlüssel hatten Angreifer potenziell Zugriff auf E-Mail-Adressen und Verwaltungsnummern von rund 296․019 Kunden.
Zugangsschlüssel zur T-Connect-App lag fünf Jahre auf GitHub
Der Vorfall geschah zwischen Juli 2017 und Dezember 2017. In dieser Zeit wurden die Daten von rund 296․019 Kunden die sich bei T-Connect registriert hatten, öffentlich zugänglich gemacht. Erst im September 2022 wurde der Zugangsschlüssel schließlich geändert um den Datenmissbrauch durch Unbefugte zu verhindern. Toyota betonte jedoch » dass keine Kundennamen « Kreditkartendaten oder Telefonnummern in der betroffenen Datenbank gespeichert waren.
Phishing-Angriffe als Folge der Datenpanne
Obwohl Toyota keine Anzeichen für einen tatsächlichen Datenmissbrauch entdeckt hat, könnten die betroffenen Kunden dennoch Opfer von Phishing-Angriffen werden. Das Unternehmen mahnte alle betroffenen Kunden, besonders wachsam bei verdächtigen E-Mails zu sein die möglicherweise gefälscht sind. Angreifer könnten versuchen die E-Mail-Adressen für Phishing-Kampagnen zu missbrauchen und sich als Toyota auszugeben um die Empfänger dazu zu bringen, vertrauliche Informationen preiszugeben.
Entwickler hinterlegen Zugangsschlüssel in Quellcode
Dieser Vorfall ist kein Einzelfall. Viele Softwareentwickler hinterlegen Zugangsschlüssel in ihrem Quellcode um interne Testprozesse zu vereinfachen. Allerdings vergessen sie oft; diese vor dem Release der Software wieder zu entfernen. Wenn dann noch Teile des Quellcodes öffentlich zugänglich sind, können Unbefugte auf sensible Daten zugreifen.
Codeprüfung gegen Authentifizierungsschlüssel
GitHub hat mittlerweile eine Codeprüfung implementiert um Commits zu blockieren die Authentifizierungsschlüssel enthalten. Doch das System ist nicht perfekt und kann benutzerdefinierte Token nicht erkennen. Unternehmen sollten deswegen besonders vorsichtig bei der Verwaltung von Zugriffsschlüsseln sein und sicherstellen, dass diese nur für autorisierte Personen zugänglich sind.
Kommentare
Der Vorfall bei Toyota zeigt, ebenso wie wichtig es ist, Zugriffsschlüssel und andere sensible Daten angemessen zu schützen und regelmäßig zu überprüfen. Unternehmen sollten sicherstellen – dass Mitarbeiter gut geschult sind und die Risiken von Onlinedatenpannen verstehen. Eine frühzeitige Erkennung von Sicherheitsverletzungen kann dazu beitragen, den Schaden zu begrenzen und das Vertrauen der Kunden zurückzugewinnen.