Ein Datenleck bei Toyota hat dazu geführt, dass die Standortdaten von über 2 Millionen Kunden für zehn Jahre offen zugänglich waren. Kriminelle konnten dadurch anhand der Fahrgestellnummer die Zielpersonen verfolgen. Die Datenpanne trat im November 2013 auf und betraf Kunden, die ab Januar 2012 die Dienste T-Connect, G-Link, G-Link Lite oder G-BOOK nutzten.
Fehlkonfiguration der Datenbank als Ursache
Die Toyota Motor Corporation gab bekannt, dass das Datenleck auf eine Fehlkonfiguration der Cloud-Infrastruktur zurückzuführen sei. Dadurch war ein freier Zugriff ohne jegliche Sicherheitsbarriere möglich. Potenzielle Angreifer konnten somit die Standortdaten der betroffenen Kunden ohne Passwort zwischen November 2013 und April 2023 abrufen.
T-Connect als betroffene Anwendung
T-Connect ist eine Anwendung, mit der Benutzer ihr Smartphone mit dem Infotainment-System ihres Fahrzeugs verbinden können. Über die App können Anrufe getätigt oder Musik abgespielt werden. Auch ein Zugriff auf Fahrzeugdaten sowie der Kontakt zum Kundendienst ist darüber möglich. Kunden, die ab Januar 2012 T-Connect, G-Link, G-Link Lite oder G-BOOK nutzten, sind von der Datenpanne betroffen.
Tracking via Fahrgestellnummer
Die Datenbank enthielt neben der Terminal-ID-Nummer auch die Fahrgestellnummer (FIN) betroffener Toyota-Fahrzeuge und sämtliche Standortinformationen inklusive Zeitangaben. Kriminelle konnten somit theoretisch über die Fahrgestellnummer das Fahrzeug und dessen Besitzer aufspüren.
Videoaufnahmen ebenfalls betroffen
Zudem waren zwischen November 2016 und April 2023 einige Videoaufnahmen zugänglich, die außerhalb der Fahrzeuge entstanden sind. Betroffene Kunden erhalten Entschuldigungsschreiben per E-Mail und können sich an ein spezielles Callcenter wenden. Toyota betont, dass es bisher keine Hinweise auf einen tatsächlichen Abruf oder Missbrauch der Daten gibt. Dennoch ist es nicht auszuschließen, dass Kriminelle die Daten genutzt haben.
Kommentare