A Toyota Motor Corporation divulgou neste domingo que sofreu uma violação de dados em seu ambiente de nuvem que expôs as informações de localização de carros de 2,15 milhões de clientes por dez anos — entre 6 de novembro de 2013 e 17 de abril deste ano. De acordo com um comunicado de segurança publicado na sala de imprensa da montadora japonesa, a violação de dados resultou de uma configuração incorreta do banco de dados que permitia que qualquer pessoa acessasse seu conteúdo sem uma senha.
“Foi descoberto que parte dos dados que a Toyota Motor Corporation confiou à Toyota Connected Corporation para gerenciar foram tornados públicos devido a uma configuração incorreta do ambiente de nuvem”, diz a nota à imprensa. “Após a descoberta, implementamos medidas para bloquear o acesso externo, mas continuamos conduzindo investigações, incluindo todos os ambientes de nuvem gerenciados pela TC. Pedimos desculpas por causar grandes transtornos e preocupações aos nossos clientes e partes relacionadas.”
O incidente expôs informações de clientes que usaram os serviços T-Connect G-Link, G-Link Lite ou G-BOOK da empresa entre 2 de janeiro de 2012 e 17 de abril deste ano, segundo a empresa. O T-Connect é o serviço inteligência veicular da Toyota para assistente por voz, atendimento ao cliente, status e gerenciamento do carro e ajuda de emergência na estrada. As informações expostas no banco de dados mal configurado incluem o número de identificação do terminal de navegação GPS do veículo, o número do chassi e informações de localização do veículo com dados de tempo.
Embora não haja evidências de que os dados tenham sido mal utilizados, usuários não autorizados podem ter acessado os dados históricos e possivelmente a localização em tempo real de 2,15 milhões de carros da marca.
Veja isso
Pesquisador invade portal de fornecedores da Toyota
Ataque paralisa no Japão a Toyota, a Daihatsu e a Hino
A Toyota fez questão de observar que os detalhes expostos “não constituem informações de identificação pessoal, portanto, não seria possível usar esse vazamento de dados para rastrear indivíduos, a menos que o invasor soubesse o VIN (número de identificação do veículo) do carro de seu alvo”. O VIN de um carro, também conhecido como número do chassi, é facilmente acessível. Alguém com motivação suficiente e acesso físico ao veículo de um alvo poderia, teoricamente, ter explorado o vazamento de dados de uma década para rastreamento de localização.
Uma segunda declaração da Toyota publicada no site japonês da Toyota Connected também menciona a possibilidade de gravações de vídeo feitas fora do veículo terem sido expostas nesse incidente. O período de exposição dessas gravações foi definido entre 14 de novembro de 2016 e 4 de abril deste ano, que é de quase sete anos.
Novamente, a exposição desses vídeos, segundo a montadora, não afetaria gravemente a privacidade dos proprietários dos carros, mas isso depende das condições, horário e local. A Toyota prometeu enviar notificações individuais de desculpas aos clientes afetados e criar um call center dedicado para lidar com suas dúvidas e solicitações.
Em outubro do ano passado, a Toyota comunicou seus clientes sobre outra longa violação de dados resultante da exposição de uma chave de acesso ao banco de dados da versão cliente do T-Connect em um repositório público do GitHub. Isso permitiu que pessoas não autorizadas acessassem os detalhes de 296.019 clientes entre dezembro de 2017 e 15 de setembro de 2022, quando o acesso externo não autorizado ao repositório GitHub foi restrito.