도요타 자동차[7203:JP]는 2013년 11월부터 2023년 4월 중순까지 10년간 일본 내 사용자 215만 명의 차량 데이터가 인적 오류로 인해 공개되었다고 밝혔다고 5월 12일 로이터 통신이 보도했습니다. 회사 측에 따르면 유출된 데이터에는 차량 위치 및 차량 장치의 식별 번호와 같은 세부 정보가 포함되었을 수 있다고 합니다. 그러나 악의적으로 사용되었다는 보고는 아직 없습니다. 영향을 받은 사용자는 도요타의 주요 클라우드 서비스 플랫폼인 T-Connect에 가입한 거의 모든 고객층과 렉서스 차량 소유자를 위한 유사한 서비스인 G-Link의 사용자로 구성됩니다. 이 문제를 발견한 후 Toyota는 데이터에 대한 외부 액세스를 차단하는 조치를 취했으며, Toyota Connected Corp에서 관리하는 모든 클라우드 환경에 대한 조사를 시작했습니다.

도요타는 최근 데이터 유출을 늦게 발견한 것에 대한 질문에 대해 데이터의 공개 노출을 신속하게 파악할 수 있는 적극적인 탐지 메커니즘과 프로세스가 부족했음을 인정했습니다. 도요타는 클라우드 설정을 감사하는 시스템을 구현하고, 설정을 지속적으로 모니터링하는 시스템을 구축하며, 직원들을 대상으로 데이터 취급 규칙에 대한 포괄적인 교육을 실시하기로 약속했습니다. 이번 데이터 유출 사고 이전에 도요타는 이미 2022년 10월에 클라우드 서비스 플랫폼과 관련된 또 다른 중대한 데이터 유출 사고에 대해 고객에게 알린 바 있습니다. 특히, 거의 5년 동안 공개 GitHub 리포지토리에서 T-Connect 고객 데이터베이스에 액세스할 수 있는 자격 증명이 실수로 노출되어 29만 명 이상의 고객 데이터가 손상될 가능성이 있었습니다.

Sources:

https://www.reuters.com/business/autos-transportation/toyota-flags-possible-leak-more-than-2-mln-users-vehicle-data-japan-2023-05-12/

https://www.straitstimes.com/asia/east-asia/toyota-says-more-than-2-million-face-risk-of-vehicle-data-leak-in-japan

https://www.bleepingcomputer.com/news/security/toyota-car-location-data-of-2-million-customers-exposed-for-ten-years/

https://blog.gitguardian.com/toyota-accidently-exposed-a-secret-key-publicly-on-github-for-five-years/