原始碼被上傳到 GitHub,TOYOTA(豐田)近30萬資料遭洩露?

網路安全本質中,人為因素是最值得注意的一點。

不久前,據路透社報道,TOYOTA豐田)的 T-Connect 服務中的約 296,019 條客戶資訊可能遭到了洩露,引發了不少車主的恐慌。對此,豐田最新發公告證實了這一事件的真實性,並表示「對於給您帶來的不便和擔憂,我們深感歉意」,而洩露的來源或許與第三方外包公司有關。

原始碼被髮布到了 GitHub

原始碼被髮布到了 GitHub

首先值得注意的是,豐田 T-Connect 是這家汽車製造商的官方連接應用程序,它的主要功能是可以讓豐田汽車車主將自己的智慧手機與車輛的資訊娛樂系統連接,可以共享電話、音樂、導航、通知、駕駛資料、發送機狀態和油耗等功能。

2022 年 9 月 15 日,豐田發現 T-Connect 使用者站點的某些源程式碼在 GitHub 平臺發佈,這些源程式碼包含了對資料伺服器的訪問金鑰,而這些金鑰用於訪問儲存在資料伺服器上的電子郵件地址和客戶管理號碼。

這使得未經授權的第三方可以在 2017 年 12 月至 2022 年 9 月 15 日期間訪問 296,019 名的客戶的詳細資訊。

不過,就在這一天,豐田緊急對 GitHub 儲存庫的訪問設置限制,並在 9 月 17 日對資料伺服器訪問金鑰進行了更改,清除了未經授權的第三方的所有潛在訪問。

這一次外包不是「背鍋俠」

這一次外包不是「背鍋俠」

在發現洩露事件的同時,豐田公司也即刻做出了排查,發現在 2017 年 12 月,T-Connect 網站開發外包公司違反處理規則,錯誤地將部分源程式碼上傳到 GitHub 上,但是直到 2022 年 9 月 15 日才發現。

這也意味著,使用者資訊在這五年間都有外洩的風險。為此,豐田解釋,客戶姓名、信用卡資料和電話號碼等資訊未受到洩露,因為它們沒有儲存在公開的資料庫中,不過「由於開發外包公司對源程式碼的處理不當,我們將與外包公司一起努力加強對客戶個人資訊處理的管理,並加強其安全功能。」

不過,雖然資料沒有被盜用的跡象,豐田也提醒道,無法完全排除有人訪問和竊取資料的可能性。

其說道,「安全專家的調查表明,儘管我們無法根據儲存客戶電子郵件地址和客戶管理號碼的資料伺服器的訪問歷史記錄來確認第三方的訪問,但同時,我們不能完全否認它(會被第三方盜用的可能性)。」

因此,對於可能洩露了電子郵件地址和客戶管理號碼的客戶,豐田公司稱,分別向註冊的電子郵件地址發送道歉信和通知。

人為因素是最大的變數

人為因素是最大的變數

值得慶幸的是,儲存在伺服器上的客戶管理號碼對第三方來說用處並不大,但是也會有不法分子會通過郵件等形式以豐田公司的名義發送一些釣魚網站。為此,豐田公司表示,提供了一個專用表單( https://www.toyota.co.jp/cmpnform/pub/co/contact-tconnect)並建立了專門的呼叫中心,以回答客戶的問題和疑慮。同時,其建議所有在 2017 年 7 月至 2022 年 9 月之間註冊的 T-Connect 使用者保持警惕,並避免打開來自聲稱是豐田的未知發件人的電子郵件及附件。

與此同時,據《每日經濟新聞》報道,豐田中國相關負責人回應道,這個情況是在日本發生的,不涉及中國使用者,主要是使用 T-connect 服務的客戶的郵箱地址和內部管理的號碼有被竊取的可能,別的資訊都不受影響。

至此,雖然「暴露」在外長達五年的漏洞僥倖沒有造成太大的影響,但這類屢見不鮮的事件也時刻警醒著處於資訊化時代下的各家公司。

據外媒 BleepingComputer 報道,在今年 9 月,賽門鐵克的安全分析師曾公佈,近 2000 個 iOS 和 Android 應用程序在其程式碼中包含硬編碼的 AWS 憑證。造成這種情況的,往往是開發者的疏忽大意,他會經常在程式碼中儲存憑證,以便在測試多個應用迭代中快速且輕鬆地獲取資產、訪問服務和更新配置。

按理來說,當軟體準備好進行實際部署時,這些憑證應該被刪除的,但是很多開發者總是會忽略,從而造成資料洩露。

另一邊,為了減少漏洞的出現,全球最大的程式碼託管平臺 GitHub 也在近年間致力於改進這一方面。去年 6 月,GitHub 宣佈其將自動掃描公開 PyPI 和 RubyGems 機密的儲存庫,如憑據和 API 令牌。簡單來看,當 GitHub 發現密碼、API 令牌、私有 SSH 金鑰或公共儲存庫中公開的其他受支持的機密時,它會通知註冊表維護者。在今年,GitHub 還推出了一項由機器學習驅動的新程式碼掃描分析功能,該程式碼掃描功能可以針對站點腳本 (XSS)、路徑注入、NoSQL 注入和 SQL 注入四種常見漏洞模式顯示警報。

不過,歸根究底,開發者在自身開發的時候需要具備足夠強的技術能力同時,也需要有強烈的網路、系統等安全意識。

參考連結:

https://global.toyota/jp/newsroom/corporate/38095972.html

https://www.bleepingcomputer.com/news/security/toyota-discloses-data-leak-after-access-key-exposed-on-github/

相關文章

八個不容錯過的 GitHub Copilot 功能!

八個不容錯過的 GitHub Copilot 功能!

GitHub Copilot是一款AI結對程式設計工具,可以幫助開發人員更快地編寫程式碼。這款工具採用了AI技術,能夠根據項目的上下文和風格...