Zveare uzyskał dostęp do nazwisk, adresów, numerów telefonów, adresów e-mail i identyfikatorów podatkowych klientów, a także historii pojazdów, usług i własności nieznanej liczby klientów Toyoty w Meksyku. Ominął korporacyjny ekran logowania producenta samochodów i zmodyfikował środowisko programistyczne aplikacji. To właśnie tam odbywa się testowanie funkcji aplikacji przed jej uruchomieniem.

poinformowała Toyota Wiadomości motoryzacyjne w e-mailu, że „traktuje cyberzagrożenia bardzo poważnie” i „niezwłocznie naprawił zgłoszoną lukę”.

Producent samochodów powiedział, że nie ma dowodów na złośliwy dostęp do systemów Toyoty i że docenia badania przeprowadzone przez Zveare. Zaprosiła innych hakerów do współpracy, odwiedzając program ujawniania luk w zabezpieczeniach w HackerOne.

Aplikacja C360 firmy Toyota agreguje dane o klientach z całej firmy. W jednym widoku pracownik może zobaczyć imię i nazwisko klienta, adres, dane kontaktowe, płeć i interakcje z firmą. Informacje te obejmują historię zakupów, rozliczenia, problemy z usługą, obecność w mediach społecznościowych i preferencje dotyczące kanałów.

Firmy mogą wykorzystywać te dane do informowania o strategiach zaangażowania, etapach podróży klienta, komunikacji, spersonalizowanych ofertach i dostawach, napisał Zveare w poście na blogu opisującym hack.

Luka pojawiła się w interfejsie programowania aplikacji, fragmencie kodu oprogramowania, który jest połączony z serwerem WWW. Interfejs API umożliwia aplikacjom internetowym i obiektom połączonym z Internetem, które działają na innym oprogramowaniu, komunikowanie się ze sobą i wymianę danych w celu wydajnego działania. Gdy interfejs API jednego serwera komunikuje się z innym serwerem, punkt końcowy interfejsu API określa miejsce, w którym inny interfejs API może uzyskać dostęp do danych. Punkt końcowy może zawierać adres URL serwera lub usługi.

„Toyota prawdopodobnie wierzyła, że ​​nikt nie znajdzie produkcyjnego punktu końcowego API, ponieważ aplikacja produkcyjna została zablokowana, ale wygląda na to, że ich programiści umieścili go w aplikacji programistycznej” – powiedział Zveare. „Nie ma nic złego w ulepszaniu ładowania aplikacji”, ale w tym przypadku stworzyło to lukę w zabezpieczeniach.

Twórcy aplikacji Toyoty prawdopodobnie zrobili to, aby aplikacja ładowała się szybciej, powiedział Zveare.

Informacje o klientach Toyoty zostały ujawnione, ponieważ ustawienia aplikacji nie musiały być również uwierzytelniane.

„Toyota rozwiązała problem, przełączając niektóre witryny w tryb offline i aktualizując interfejsy API, aby wymagały tokena uwierzytelniającego” — powiedział Zveare. „Zasadniczo dzień po tym, jak zgłosiłem problem do Toyoty, przełączyli wszystkie witryny w tryb offline. Byłem pod wrażeniem, jak szybko zareagowali”.

Toyota prawdopodobnie spędziła kilka następnych tygodni na wprowadzaniu niezbędnych ulepszeń w zakresie bezpieczeństwa i upewnianiu się, że nikt nie ma złośliwego dostępu do żadnych informacji o klientach, powiedział Zveare.

Toyota nie wydała porady dotyczącej naruszenia, ponieważ prawdopodobnie nie wykryto złośliwego dostępu, powiedział Zveare.

W oddzielnym włamaniu w listopadzie Zveare włamał się do aplikacji używanej przez pracowników i dostawców Toyoty. Podczas tego włamania nie ujawniono żadnych danych klientów, ale dostęp w trybie odczytu i zapisu do 14 000 firmowych kont e-mail, powiązanych poufnych dokumentów, projektów, rankingów dostawców, komentarzy i innych informacji był dostępny.