全球知名汽車制造公司豐田（TOYOTA）遭遇了嚴(yán)重的用戶信息泄露事件。安全研究人員發(fā)現(xiàn)，黑客通過攻擊豐田意大利數(shù)字營銷自動(dòng)化和分析軟件服務(wù)提供商 Salesforce Marketing Cloud，從而獲得了海量的用戶數(shù)據(jù)，且至今為止數(shù)據(jù)泄露已有一年半之久。

此外，豐田意大利還泄露了軟件公司 Mapbox 的應(yīng)用程序編程接口 (API) 令牌，導(dǎo)致敏感數(shù)據(jù)泄露范圍增大。攻擊者可能會(huì)借此獲取豐田意大利用戶的手機(jī)號(hào)碼和電子郵箱等，并利用這些信息發(fā)起網(wǎng)絡(luò)釣魚攻擊。

好消息是，截止到發(fā)稿時(shí)，豐田意大利已經(jīng)將這些數(shù)據(jù)再次保護(hù)起來，該公司也表示，已經(jīng)和第三方網(wǎng)絡(luò)安全公司合作，采取了額外的措施加強(qiáng)其網(wǎng)絡(luò)安全系統(tǒng)和協(xié)議。

公開信息顯示，豐田是全球最大的汽車制造商之一，擁有超過37W名員工，去年收入約為2670億美元。僅在歐洲，豐田的雇員就超過了2.5W名，共有八家汽車制造工廠。

目前雖然不清楚豐田意大利的官方數(shù)據(jù)，但是該公司已經(jīng)在意大利屹立半個(gè)多世紀(jì)了，妥妥的老牌企業(yè)。根據(jù) Statista 的數(shù)據(jù)，豐田意大利公司的收入預(yù)計(jì)到 2023 年將達(dá)到約18億美元，汽車銷量預(yù)計(jì)將接近8.3w輛。

偶然發(fā)現(xiàn)數(shù)據(jù)被公開

2023年2月14日，Cybernews的安全研究團(tuán)隊(duì)在豐田意大利官方網(wǎng)站上發(fā)現(xiàn)了一個(gè)環(huán)境文件(.env)。而該環(huán)境文件于2021 年 5 月 21 日首次被物聯(lián)網(wǎng) (IoT) 搜索引擎編入索引，這意味著很多人都可以進(jìn)行公開訪問。

根據(jù) Cybernews 研究團(tuán)隊(duì)的說法，該環(huán)境文件泄露的原因是，豐田意大利數(shù)字營銷自動(dòng)化和分析軟件服務(wù)提供商 Salesforce Marketing Cloud公開了用戶賬戶憑證訪問權(quán)限。黑客獲取了Salesforce Marketing Cloud公司的權(quán)限，并借此訪問豐田意大利用戶的賬戶憑證。

通過賬戶憑證，攻擊者順勢(shì)訪問到了用戶的電話號(hào)碼、電子郵件地址、客戶跟蹤信息以及電子郵件、短信和推送通知內(nèi)容。同時(shí)這些憑據(jù)可以進(jìn)一步被用來發(fā)送虛假的SMS消息、電子郵件、編輯&啟動(dòng)營銷活動(dòng)、創(chuàng)建自動(dòng)化腳本、編輯與 Salesforce 營銷云相關(guān)的內(nèi)容，甚至向豐田的客戶發(fā)送推送通知。

Cybernews 安全研究人員稱，此次敏感數(shù)據(jù)泄露事件對(duì)于豐田意大利來說十分嚴(yán)重，這些信息完全可以被用來發(fā)起一些復(fù)雜的網(wǎng)絡(luò)釣魚攻擊，攻擊者可以訪問和控制豐田的官方通信渠道，從而使受害者更容易落入此類釣魚攻擊中，因?yàn)榘l(fā)件人的信息是被冒充的豐田意大利官方。

此外，豐田意大利還泄露了軟件公司 Mapbox 的應(yīng)用程序編程接口 (API) 令牌。雖然這部分?jǐn)?shù)據(jù)不像 Salesforce Marketing Cloud 賬號(hào)憑證那么敏感，但是攻擊者可能會(huì)濫用它來查詢大量請(qǐng)求并增加豐田 API 使用的成本。

豐田官方回應(yīng)

Cybernews 將此漏洞告知豐田后，該公司立即采取了必要的措施來進(jìn)行補(bǔ)救。據(jù)豐田公司稱，此次安全事件的出現(xiàn)，是對(duì)方未能遵守公司的數(shù)據(jù)安全政策造成的。

目前豐田公司已經(jīng)采取了一套額外的安全措施來恢復(fù)和加強(qiáng)網(wǎng)絡(luò)安全系統(tǒng)和協(xié)議，并及時(shí)向意大利有關(guān)當(dāng)局報(bào)告了隱私數(shù)據(jù)暴露的風(fēng)險(xiǎn)，全力配合正在進(jìn)行的調(diào)查。

豐田公司進(jìn)一步表示，豐田非常認(rèn)真地對(duì)待此次事件，也非常重視網(wǎng)絡(luò)安全建設(shè)，我們將借此機(jī)會(huì)從調(diào)查結(jié)果中吸取教訓(xùn)，進(jìn)一步提升網(wǎng)絡(luò)安全防護(hù)能力以及協(xié)議的安全性，防止再次出現(xiàn)此類安全事件。

目前尚不清楚攻擊者具體訪問了哪些數(shù)據(jù)，但豐田公司建議用戶高度警惕網(wǎng)絡(luò)釣魚攻擊，及時(shí)更換賬號(hào)密碼，以確保個(gè)人信息安全。

豐田公司稱：“騙子可能會(huì)試圖向您發(fā)送冒充豐田或任何其他流行品牌的虛假消息，因此請(qǐng)確保通過啟用多因素身份驗(yàn)證 (MFA) 來保護(hù)您的電子郵件地址。小心電子郵件，不要點(diǎn)擊鏈接或提供任何個(gè)人信息。如果您發(fā)現(xiàn)電子郵件可疑，請(qǐng)將其報(bào)告給您的提供商。

當(dāng)涉及到電話號(hào)碼時(shí)，您可能會(huì)受到垃圾/營銷/釣魚短信的轟炸，甚至?xí)l(fā)現(xiàn)自己成為 SIM 交換攻擊的受害者，攻擊者部署該攻擊以獲取對(duì)基于 SMS MFA 代碼的訪問權(quán)限。”

這不是豐田第一次在網(wǎng)上公開其數(shù)據(jù)并將自身和客戶置于風(fēng)險(xiǎn)之中。

2022年，豐田公司近30萬用戶數(shù)據(jù)被泄露，包括電子郵件地址和客戶管理號(hào)碼。開發(fā)人員在 GitHub 上發(fā)布源代碼后，通過其客戶應(yīng)用程序 T-Connect 公開的數(shù)據(jù)已經(jīng)泄露了五年。

2023年 1 月，豐田汽車在印度的業(yè)務(wù)也曝出信息泄露事件，部分用戶的個(gè)人信息很有可能已經(jīng)被攻擊者獲取。

參考來源：https://cybernews.com/security/toyota-customer-data-leak/