LEBIGDATA.FR I.A, Cloud & Cybersécurité
Toyota Motor Corp. vient de publier un communiqué révélant une exposition de données sans précédent. Une base de données cloud est restée accessible au public pendant près d'une décennie exposant les informations personnelles de plus de 2 millions de clients. Le constructeur japonais s'en excuse.
Une erreur de configuration dans le service cloud
Dans un communiqué publié le 12 mai dernier, Toyota Motor Corp. a révélé une exposition de données de grande envergure. Le constructeur explique que l'incident de cybersécurité qui implique sa filiale Toyota Connected, a exposé les informations personnelles d'environ 2,15 millions d'utilisateurs en ligne.
Toyota flags possible leak of more than 2 mln users' vehicle data in Japan https://t.co/dHOKEjlX4A pic.twitter.com/MvdZ4KLseI
— Reuters (@Reuters) May 12, 2023
La violation des données des utilisateurs avait été causée par une erreur de configuration dans le service cloud selon la société. Le système cloud a été accidentellement défini sur « public », ce qui a permis à quiconque d'y accéder sans mot de passe. Le contenu divulgué comprend les numéros de série des véhicules et leurs données de localisation.
Les images prises par la caméra de tableau de bord téléchargées sur le cloud à l'aide d'un service fourni par Toyota Connect ont également été exposées. La société affirme qu'à ce stade, elle n'a confirmé aucune utilisation malveillante des données client divulguées.
Toyota : des données exposées depuis plus de 10 ans !
La fuite a principalement touché les clients du service T-Connect. Il s'agit d'une application aux multiples fonctionnalités allant du verrouillage/déverrouillage à distance des portes à l'assistance routière. L'incident affecte également les propriétaires de Lexus qui ont utilisé le service G-Link.
Les données ont été exposées depuis 2012, l'erreur de configuration n'ayant été découverte que récemment. Les rapports précisent que la violation de données concerne précisément les utilisateurs actifs de T-Connect et de G-Link qui se sont inscrits à ces services entre le 2 janvier 2012 et le 17 avril 2023.
En commentant cette affaire, le porte-parole de Toyota avoue qu' « Il y avait un manque de mécanismes de détection actifs et de processus pour détecter la présence ou l'absence de choses qui sont devenues publiques ». Toyota précise que les données exposées proviennent toutes du Japon.
Toyota s'excuse auprès de ses clients
Dans son communiqué, Toyota s'excuse auprès de ses clients pour cette exposition de données. « Nous nous excusons d'avoir causé de gros désagréments et inquiétudes à nos clients et aux parties liées. […] Nous avons mis en place des mesures pour bloquer l'accès depuis l'extérieur, mais nous continuons à mener des investigations, notamment sur tous les environnements cloud gérés par T-Connect », déclare la société.
« Nous reconnaissons une fois de plus que le traitement approprié des informations personnelles des clients est une responsabilité sociale importante d'une entreprise », ajoute-elle. Toyota promet de déployer tous les efforts nécessaires pour améliorer la cybersécurité et éviter qu'un tel scénario ne se reproduise.
Le constructeur automobile japonais explique notamment qu'il mettra en place un système de surveillance permanente des paramètres des systèmes informatiques/cloud et éduquera en profondeur les employés sur les règles de traitement des données.
- Partager l'article :
