El fabricante japonés de automóviles, Toyota Motor Corporation, ha anunciado que ha sido víctima de una filtración de datos tras la publicación de su clave de acceso en el portal GitHub.

Ante este hecho, ha alertado que la información personal de sus clientes puede haber quedado expuesta ya que esta clave de acceso ha estado disponible en GitHub durante casi cinco años.

La compañía descubrió recientemente que una parte del código fuente de T-Connect se publicó por error en GitHub y contenía una clave de acceso al servidor de datos que almacenaba las direcciones de correo electrónico y los números de gestión de los clientes.

Toyota T-Connect es la aplicación de conectividad oficial del fabricante de automóviles que permite a los propietarios de automóviles de la marca vincular su smartphone con el sistema de información y entretenimiento del vehículo.

De esta forma, le permite realizar y recibir llamadas telefónicas, escuchar música, navegar, integrar notificaciones, integrar datos de conducción, del estado del motor, y consumo de combustible, entre otras.

Esto ha podido posibilitar que un tercero no autorizado accediera a los datos de 296.019 clientes entre diciembre de 2017 y el 15 de septiembre de 2022, cuando se restringió el acceso al repositorio de GitHub.

Toyota asume una mala gestión de los datos

Si bien el 17 de septiembre de 2022, se cambiaron las claves de la base de datos, eliminando todo acceso potencial de terceros no autorizados, los daños ocasionados durante todo este tiempo son incalculables.

No obstante, desde Toyota señalan que los nombres de los clientes, los datos de las tarjetas de crédito y los números de teléfono no se han visto comprometidos, ya que no se almacenaron en la base de datos expuesta.

Ante estos hechos, la compañía ha culpado del error a un desarrollador subcontratado, aunque también reconoce su responsabilidad por la mala gestión que ha realizado de los datos de los clientes y se ha disculpado por las molestias causadas.

Si bien aún se está llevando a cabo una investigación, Toyota señala que, aunque no hay signos de apropiación indebida de datos, no descarta la posibilidad de que alguien haya accedido y los haya robado.

Así reza el comunicado emitido en el que apunta que «aunque no podemos confirmar el acceso de un tercero en función del historial de acceso al servidor de datos donde se almacenan la dirección de correo electrónico del cliente y el número de administración, no podemos descartarlo completamente.»

Toyota filtración de datos T-Connect noticia bit life media.jpg

Por esta razón, la firma recomienda a todos los usuarios de T-Connect que se registraron entre julio de 2017 y septiembre de 2022 que estén atentos a las estafas de phishing y eviten abrir archivos adjuntos de correo electrónico de remitentes desconocidos que afirman ser de Toyota.

Los desarrolladores, en el punto de mira

La filtración de datos de Toyota es un incidente de seguridad que se ha convertido en un problema a gran escala ya que pone en riesgo gran cantidad de datos confidenciales.

Y es que, no se trata del único caso sucedido recientemente. El pasado mes de septiembre, los analistas de seguridad de Symantec revelaron que casi 2.000 aplicaciones para iOS y Android contenían credenciales de AWS codificadas en su código.

En este caso, se trataba de una negligencia del desarrollador que había almacenado las credenciales en el código. El objetivo era que la obtención de activos, el acceso al servicio y la actualización de la configuración fueran más rápidas y sencillas mientras se prueban varias iteraciones de la aplicación.

Sin embargo, es fundamental que estas credenciales se eliminen inmediatamente una vez que el software está listo para su implementación real. Desafortunadamente, como muestra el caso de la aplicación T-Connect, esto no siempre se hace.

Debido a que este problema no ha sido algo puntual, GitHub comenzó a escanear el código publicado y bloqueó las confirmaciones de código que contienen claves de autenticación para proteger mejor los proyectos.

No obstante, si un desarrollador utiliza claves de acceso no estándar o tokens personalizados, GitHub no podrá detectarlos de forma predeterminada.

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre