Los fabricantes de coches continúan siendo protagonistas de importantes incidentes de ciberseguridad. En esta ocasión le ha tocado el turno a Toyota, una vez más. En enero su filial india sufrió una brecha de seguridad, mientras en octubre del año pasado la empresa reconocía que los datos de 300.000 clientes de su servicio Connect habían sido filtrados.
En esta ocasión la compañía nipona ha emitido un comunicado donde reconoce haber experimentado una violación de datos que se habría sucedido durante un período cercano a los diez años. En concreto, desde el 6 de noviembre de 2013 hasta el 17 de abril de 2023.
El origen fue una base de datos en su nube configurada de manera incorrecta. Esta brecha de habría expuesto información de 2,15 millones de clientes de la marca.
La mala configuración posibilitó que terceros no autorizados pudieran acceder a la base de datos sin necesidad de una contraseña.
La compañía automovilística tomó medidas de seguridad para cerrar el acceso a la base de datos y las investigaciones siguen en marcha.
"Se descubrió que parte de los datos que Toyota Motor Corporation encomendó a Toyota Connected Corporation para administrar se habían hecho públicos debido a una mala configuración del entorno de la nube", ha aclarado la casa.
"Tras el descubrimiento de este asunto, hemos implementado medidas para bloquear el acceso desde el exterior, pero continuamos realizando investigaciones, incluyendo todos los entornos de nube administrados por TC. Pedimos disculpas por causar grandes inconvenientes y preocupaciones a nuestros clientes y partes relacionadas", añaden.
Estos son los afectados
Las víctimas del incidente son personas que usaron los servicios T-Connect G-Link, G-Link Lite o G-BOOK de Toyota entre el 2 de enero de 2012 y el 17 de abril de 2023.
La base de datos mal configurada dejó expuestos el número de chasis, el número de identificación del termina de navegación GPS del vehículo, la ubicación del coche y los datos de tiempo. Afortunadamente, estos datos no contienen ninguna información de identificación personal.
Por ahora no hay indicios de que los datos filtrados se hayan usado de manera maliciosa. Sin embargo, la brecha no deja de ser preocupante, ya que los ciberdelincuentes podrían haber visto la ubicación en tiempo real de más de 2 millones de vehículos.
Toyota también ha mencionado la posibilidad de fugas de vídeo vinculadas al incidente. El fabricante habla de que las grabaciones de vídeo del exterior de sus coches entre el 14 de noviembre de 2016 y el 4 de abril de 2023 podrían haber quedado expuestas.
T-Connect es es el servicio inteligente de los coches de la marca, que proporciona asistencia por voz, soporte de servicio al cliente, estado del automóvil, datos de administración y ayuda de emergencia.