Toyota công khai nhầm mã nguồn quan trọng lên GitHub, 5 năm sau mới nhận ra

Toyota Motor Corporation vừa đưa ra cảnh báo rằng thông tin cá nhân của khách hàng có thể đã bị lộ do một khóa truy cập đã được công bố công khai trên GitHub trong gần 5 năm.

Toyota T-Connect là ứng dụng kết nối chính thức của nhà sản xuất ô tô, cho phép chủ sở hữu xe Toyota liên kết smartphone của họ với hệ thống thông tin giải trí của xe để gọi điện, nghe nhạc, tìm đường, tích hợp thông báo, dữ liệu lái xe, tình trạng động cơ, mức tiêu thụ nhiên liệu...

Gần đây, Toyota đã phát hiện ra rằng một phần mã nguồn của trang T-Connect đã bị đăng tải nhầm trên GitHub. Nghiêm trọng hơn, trong đó chứa khóa truy cập vào máy chủ dữ liệu lưu trữ địa chỉ email và số quản lý của khách hàng.

Điều này dẫn tới việc một bên thứ ba có thể truy cập trái phép vào thông tin chi tiết của 296.019 khách hàng trong khoảng thời gian từ tháng 12 năm 2017 đến ngày 15/9/2022 khi quyền truy cập vào repo GitHub bị hạn chế.

Vào ngày 17/9/2022, các khóa của cơ sở dữ liệu đã được thay đổi, loại bỏ tất cả truy cập trái phép tiềm ẩn của bên thứ ba.

Toyota công khai nhầm mã nguồn quan trọng lên GitHub, 5 năm sau mới nhận ra

Thông báo của Toyota giải thích rằng tên khách hàng, dữ liệu thẻ tín dụng và số điện thoại không bị xâm phạm vì chúng không được lưu trữ trong cơ sở dữ liệu bị lộ.

Toyota đã đổ lỗi cho một nhà thầu phụ chịu trách nhiệm phát triển về sự cố này nhưng cũng nhận trách nhiệm đối với việc xử lý sai dữ liệu khách hàng và xin lỗi vì bất kỳ sự bất tiện nào mà họ gây ra.

Nhà sản xuất ô tô Nhật Bản kết luận rằng tuy không có dấu hiệu nào về việc chiếm đoạt dữ liệu nhưng không thể loại trừ khả năng ai đó đã truy cập và đánh cắp dữ liệu.

"Theo kết quả điều tra của các chuyên gia bảo mật, dựa trên lịch sử truy cập của máy chủ dữ liệu nơi lưu trữ địa chỉ email của khách hàng và số quản lý khách hàng chúng tôi không thể xác nhận đã có bên thứ ba truy cập trái phép, đồng thời, chúng tôi không thể phủ nhận hoàn điều đó", Toyota thông báo.

Vì lý do này, tất cả người dùng T-Connect đã đăng ký trong khoảng thời gian từ tháng 7/2017 đến tháng 9/2022 được khuyến cáo nên cảnh giác trước các âm mưu lừa đảo và tránh mở file đính kèm email từ những người gửi không xác định hoặc từ những kẻ mạo danh nhân viên Toyota.

Quên mật khẩu trong code

Loại sự cố bảo mật này thường trở thành một vấn đề quy mô lớn khiến hàng loạt dữ liệu nhạy cảm có nguy cơ bị lộ.

Hồi tháng 9, các nhà phân tích của Symantec cho biết có gần 2.000 ứng dụng dành cho iOS và Android chứa thông tin đăng nhập AWS được mã hóa cứng trong code của họ.

Đây thường là hậu quả của từ những sơ suất của nhà phát triển. Họ lưu trữ thông tin xác thực trong code để giúp tìm nạp nội dung, truy cập dịch vụ và cập nhật cấu hình nhanh chóng và dễ dàng hơn trong quá trình thử nghiệm ứng dụng vốn lặp đi lặp lại nhiều lần.

Những thông tin xác thực này cần phải được xóa khi phần mềm sẵn sàng tung ra thị trường. Nhưng thật không may, ví dụ như trong trường hợp của ứng dụng T-Connect, điều này không phải lúc nào cũng được thực hiện.

Cũng vì vấn đề này, GitHub đã bắt đầu quét code đã được đưa lên để tìm và chặn các code có chứa khóa xác thực, thông tin đăng nhập... nhằm bảo vệ các dự án tốt hơn.

Tuy nhiên, nếu nhà phát triển sử dụng các khóa truy cập không đúng tiêu chuẩn hoặc token tùy chỉnh, thì theo mặc định GitHub sẽ không thể phát hiện ra.

Thứ Ba, 11/10/2022 16:28
51 👨 273
0 Bình luận
Sắp xếp theo
    ❖ Chuyện công nghệ