暴露用户信息长达一年半 丰田被服务商坑惨了

世界出名汽车制作公司丰田（TOYOTA）遭逢了重大的用户信息暴露事情。安保钻研人员发现，黑客经过攻打丰田意大利数字营销智能化和剖析软件服务提供商 Salesforce Marketing Cloud，从而取得了海量的用户数据，且至今为止数据暴露已有一年半之久。

此外，丰田意大利还暴露了软件公司 Mapbox 的运行程序编程接口 (API) 令牌，造成敏感数据暴露范畴增大。攻打者或者会借此失掉丰田意大应用户的手机号码和电子邮箱等，并应用这些信息动员网络钓鱼攻打。

好信息是，截止到发稿时，丰田意大利曾经将这些数据再次包全起来，该公司也示意，曾经和第三方网络安保公司协作，采取了额外的措施增强其网络安保系统和协定。

地下信息显示，丰田是世界最大的汽车制作商之一，领有超越37W名员工，去年支出约为2670亿美元。仅在欧洲，丰田的雇员就超越了2.5W名，共有八家汽车制作工厂。

目前只管不分明丰田意大利的官网数据，但是该公司曾经在意大利矗立半个多世纪了，妥妥的老牌企业。依据 Statista 的数据，丰田意大利公司的支出估量到 2023 年将到达约18亿美元，汽车销量估量将凑近8.3w辆。

2023年2月14日，Cybernews的安保钻研团队在丰田意大利官网网站上发现了一个环境文件(.env)。而该环境文件于2021 年 5 月 21 日初次被物联网 (IoT) 搜查引擎编入索引，这象征着很多人都可以启动地下访问。

依据 Cybernews 钻研团队的说法，该环境文件暴露的要素是，丰田意大利数字营销智能化和剖析软件服务提供商 Salesforce Marketing Cloud地下了用户账户凭证访问权限。黑客失掉了Salesforce Marketing Cloud公司的权限，并借此访问丰田意大应用户的账户凭证。

经过账户凭证，攻打者趁势访问到了用户的电话号码、电子邮件地址、客户跟踪信息以及电子邮件、短信和推送通知内容。同时这些凭据可以进一步被用来发送虚伪的SMS信息、电子邮件、编辑&启动营销优惠、创立智能化脚本、编辑与 Salesforce 营销云关系的内容，甚至向丰田的客户发送推送通知。

Cybernews 安保钻研人员称，此次敏感数据暴露事情关于丰田意大利来说十分重大，这些信息齐全可以被用来动员一些复杂的网络钓鱼攻打，攻打者可以访问和控制丰田的官网通讯渠道，从而使受益者更容易落入此类钓鱼攻打中，由于发件人的信息是被混充的丰田意大利官网。

此外，丰田意大利还暴露了软件公司 Mapbox 的运行程序编程接口 (API) 令牌。只管这局部数据不像 Salesforce Marketing Cloud 账号凭证那么敏感，但是攻打者或者会滥用它来查问少量恳求并参与丰田 API 经常使用的老本。

Cybernews 将此破绽告知丰田后，该公司立刻采取了必要的措施来启动弥补。据丰田公司称，此次安保事情的产生，是对方未能遵守公司的数据安保政策形成的。

目前丰田公司曾经采取了一套额外的安保措施来复原和增强网络安保系统和协定，并及时向意大利无关当局报告了隐衷数据暴露的危险，全力配合正在启动的考查。

丰田公司进一步示意，丰田十分仔细地看待此次事情，也十分注重网络安保树立，咱们将借此时机从考查结果中吸取经验，进一步优化网络安保防护才干以及协定的安保性，防止再次产生此类安保事情。

目前尚不分明攻打者详细访问了哪些数据，但丰田公司倡导用户高度警觉网络钓鱼攻打，及时改换账号明码，以确保团体信息安保。

丰田公司称：“骗子或者会试图向您发送混充丰田或任何其余盛行品牌的虚伪信息，因此请确保经过启用多要素身份验证 (MFA) 来包全您的电子邮件地址。小心电子邮件，不要点击链接或提供任何团体信息。假设您发现电子邮件可疑，请将其报告给您的提供商。

当触及到电话号码时，您或者会遭到渣滓/营销/钓鱼短信的轰炸，甚至会发现自己成为 SIM 替换攻打的受益者，攻打者部署该攻打以失掉对基于 SMS MFA 代码的访问权限。”

这不是丰田第一次性在网上地下其数据并将自身和客户置于危险之中。

2022年，丰田公司近30万用户数据被暴露，包含电子邮件地址和客户治理号码。开发人员在 GitHub 上颁布源代码后，经过其客户运行程序 T-Connect 地下的数据曾经暴露了五年。

2023年 1 月，丰田汽车在印度的业务也曝出信息暴露事情，局部用户的团体信息很有或者曾经被攻打者失掉。