【跟進調查】豐田再爆人為錯誤 部分亞洲客戶個人資料外洩長達7年
日本汽車製造商豐田繼發現逾 200 萬汽車用戶資料或外洩後,事隔約半個月,於跟進調查中再發現兩項人為錯誤,導致部分亞洲及大洋洲客戶的個人信息洩露長達 7 年之久,當中更包括姓名、地址及電話號碼等個人資料。
豐田在上月中表示,由於雲環境設定錯誤,令 215 萬汽車用戶的資料外洩 10 年,除了向外界致歉並更改雲系統設置外,亦隨即對負責營運雲平台的汽車數據手機公司 Toyota Connected Corporation 展開調查。經過詳細調查後,豐田果然發現由 Toyota Connected Corporation 所管理的雲環境中,有兩項同樣出現人為設置錯誤,令外部能訪問部分客戶信息。
第一項錯誤是在 2016 年 10 月至 2023 年 5 月期間,本應只允許供應商查閱的數據庫,因未有妥善處理,令亞洲和大洋洲部分豐田客戶的個人資料被公開近 7 年,包括姓名、地址、電話號碼、電子郵件地址、客戶 ID、車輛登記號碼及車輛識別號碼(VIN),但不包括車輛位置及信用卡資料。
豐田未有透露受影響客戶數字,又指暫時未發現有第三方複製或使用相關客戶資料。
第二項錯誤的外洩時間為 2015 年 2 月 9 日至 2023 年 5 月 12 日,長達 8 年多,比第一項錯誤的外洩時間更長。被公開的資料與汽車導航系統相關,相對較不敏感,包括車載設備 ID、地圖數據更新及數據創建日期,牽涉約 26 萬名日本豐田客戶,當中不包括車輛位置數據。
這次外洩事件影響了 2015 年 2 月 9 日至 2022 年 3 月 31 日使用 G-BOOK Mx 或以 G-BOOK mX Pro 訂購 G-BOOK 導航系統的客戶,以及訂購 G-Link 或 G-Link Lite 並使用豐田 on demand service 更新地圖的客戶。而受影響的車輛型號為豐田的子品牌 Lexus,包括於 2009 年至 2015 年間銷售的 LS、GS、HS、IS、ISF、ISC、LFA、SC、CT 和 RX 汽車。
豐田聲稱即使從外部訪問得到數據,並不足以推斷客戶的身分,亦未能以任何方式入侵車輛系統,又指數據在某一段時間後會自動從雲環境中刪除,所以在任何特定時間曝光的資料有限。
就今次事件,豐田已設置系統監控雲環境的配置及數據庫,以防止未來出現同類事件。
過去豐田已多次出現網絡安全問題,例如於去年 10 月誤把服務金鑰上傳至 GitHub,導致近 3 萬名車主資料被公開;今年 3 月,又 被發現能在客戶關係管理平台中,存取墨西哥汽車製造商客戶的個人資料。相信豐田要挽回客戶對其網絡安全方面的信心,尚要一些時間。
相關文章:【人為錯誤】豐田致歉 逾200萬車輛數據外洩10年