Seguridad

Toyota ha tenido publicada por error una clave secreta durante cinco años

Toyota, el fabricante de automóviles con sede en Japón, ha revelado que expuso accidentalmente una credencial que permitía el acceso a los datos de los clientes en un repositorio público de GitHub durante casi 5 años.

El código ha sido público desde diciembre de 2017 hasta septiembre de 2022. Aunque Toyota dice haber invalidado la clave, una exposición durante tanto tiempo podría significar que múltiples ciberdelincuentes podrían haber tenido acceso.

La exposición de datos en repositorios Git públicos es un tema preocupante. El código destinado a los repositorios privados, estrechamente controlados, se envía con mucha frecuencia a los repositorios públicos propiedad de empleados o contratistas, fuera del control de seguridad de sus organizaciones de GitHub.

 

Lo que ha sucedido

En 2014, Toyota presentó a sus clientes un nuevo servicio telemático llamado T-Connect, que ofrece respuesta de voz interactiva y permite a los conductores conectarse a aplicaciones de terceros. Toyota lo anuncia como sus «servicios conectados que proporcionan servicios seguros, cómodos y convenientes a través de la comunicación del vehículo.»

T-Connect permite funciones como el arranque a distancia, la conexión Wi-Fi en el coche, el acceso a la llave digital, el control total de las métricas proporcionadas por el salpicadero, así como una línea directa con la aplicación de servicio Mi Toyota. Los servidores que controlan estas opciones contienen números de identificación y correos electrónicos exclusivos de los clientes.

En diciembre de 2017, mientras trabajaba con un subcontratista no identificado, una parte del código fuente de T-Connect se subió a un repositorio público de GitHub. Dentro del repositorio había una clave de acceso codificada para el servidor de datos que gestiona la información de los clientes. Cualquiera que encontrara esa credencial podría acceder al servidor, obteniendo acceso a 296.019 clientes.

No fue hasta el 15 de septiembre de 2022 que alguien se dio cuenta de que este repositorio era público y que los datos de los clientes estaban potencialmente expuestos. Desde entonces, Toyota ha convertido el repositorio en privado y ha invalidado y sustituido las credenciales de conexión afectadas.

¿Cuál es tu reacción?
Sorprendido
0%
Feliz
0%
Indiferente
0%
Triste
100%
Enfadado
0%
Aburrido
0%
Incrédulo
0%
¡Buen trabajo!
0%
Fuente
Toyota
✏️ Ver comentarios
Sobre el Autor
Luis A.
Luis es el creador y editor jefe de Teknófilo. Se aficionó a la tecnología con un Commodore 64 e hizo sus pinitos programando gracias a los míticos libros de 🛒 'BASIC para niños' con 11 años. Con el paso de los años, la afición a los ordenadores se ha extendido a cualquier cacharrito que tenga una pantalla y CPU.
Comentarios
Deja un comentario

Deja un comentario