Depuis 2013, les criminels peuvent utiliser la fuite de données pour suivre les clients Toyota à l’aide du numéro VIN de leur véhicule.

Pendant une dizaine d’années, les criminels ont pu utiliser une fuite de données chez Toyota pour suivre activement une cible à l’aide du numéro de châssis. Les données de localisation de plus de deux millions de clients Toyota sont librement accessibles depuis 2013. À partir de 2016, des enregistrements vidéo de caméras extérieures auraient été disponibles à la suite de la violation de données.

Les données de localisation des clients Toyota pourraient être récupérées sans mot de passe

Comme Toyota Motor Corporation l’a annoncé hier, une fuite de données dans l’infrastructure cloud de l’entreprise a fait en sorte que les données de localisation d’environ 2 150 000 clients soient librement accessibles à tous pendant une dizaine d’années. La raison en était une mauvaise configuration de la base de données, qui permettait un accès libre sans aucune barrière de sécurité.

À la suite de la violation de données, des attaquants potentiels ont pu accéder aux données de localisation des clients Toyota concernés entre le 6 novembre 2013 et le 17 avril 2023 sans saisir de mot de passe. Selon l’annonce officielle, tous les clients qui utilisent les services T-Connect, G-Link, G-Link Lite ou G-BOOK depuis le 2 janvier 2012 sont concernés.

T-Connect est une application qui permet aux utilisateurs de connecter leur smartphone au système d’infodivertissement de leur véhicule. Vous pouvez l’utiliser pour passer des appels ou écouter de la musique, par exemple. Mais l’application peut également être utilisée pour accéder aux données du véhicule et contacter le service client.

L’application développée par Toyota s’était fait remarquer l’année dernière en raison d’une fuite de données. La cause à l’époque faisait partie du code source qui était ouvert depuis plusieurs années. Celle-ci contenait parfois une clé d’accès à l’un des serveurs de données de l’entreprise.

Le suivi via le numéro de châssis était possible

En plus d’un numéro d’identification de terminal et du numéro de châssis (VIN) des véhicules Toyota concernés, la nouvelle violation de données comprenait toutes les informations de localisation stockées dans la base de données, y compris les informations temporelles.

Quiconque connaissait le VIN d’un véhicule Toyota aurait pu théoriquement retrouver son propriétaire pendant des années grâce à la fuite de données. Et même sans Apple Airtag. Trouver le numéro de châssis avec un accès physique à la voiture n’est certainement pas un grand défi pour les criminels.

Le fabricant affirme qu’il n’y a aucune indication d’une récupération réelle ou d’une mauvaise utilisation des données. Cependant, cela ne peut généralement pas être exclu avec certitude. Cependant, l’accès aux données de localisation aurait certainement été utile pour de nombreuses autorités policières. Parce que vous auriez pu retrouver au moins quelques Toyota volées.

La fuite de données de Toyota comprenait également des séquences vidéo de caméras extérieures

Comme le rapporte BleepingComputer, il y a même eu une deuxième annonce de Toyota Connected. De ce fait, certains enregistrements vidéo réalisés à l’extérieur des véhicules auraient été accessibles. Ceux-ci étaient donc accessibles aux personnes non autorisées entre le 14 novembre 2016 et le 4 avril 2023.

Le constructeur automobile souhaite envoyer aux clients concernés des lettres d’excuses par e-mail. De plus, Toyota mettra bientôt en place un centre d’appels dédié exclusivement aux questions et préoccupations des personnes concernées par la fuite de données.