Haker uzyskał dostęp do informacji o meksykańskich klientach Toyoty
Zveare uzyskał dostęp do nazwisk, adresów, numerów telefonów, adresów e-mail i identyfikatorów podatkowych klientów, a także historii pojazdów, usług i własności nieznanej liczby klientów Toyoty w Meksyku. Ominął korporacyjny ekran logowania producenta samochodów i zmodyfikował środowisko programistyczne aplikacji. To właśnie tam odbywa się testowanie funkcji aplikacji przed jej uruchomieniem.
poinformowała Toyota Wiadomości motoryzacyjne w e-mailu, że „traktuje cyberzagrożenia bardzo poważnie” i „niezwłocznie naprawił zgłoszoną lukę”.
Producent samochodów powiedział, że nie ma dowodów na złośliwy dostęp do systemów Toyoty i że docenia badania przeprowadzone przez Zveare. Zaprosiła innych hakerów do współpracy, odwiedzając program ujawniania luk w zabezpieczeniach w HackerOne.
Aplikacja C360 firmy Toyota agreguje dane o klientach z całej firmy. W jednym widoku pracownik może zobaczyć imię i nazwisko klienta, adres, dane kontaktowe, płeć i interakcje z firmą. Informacje te obejmują historię zakupów, rozliczenia, problemy z usługą, obecność w mediach społecznościowych i preferencje dotyczące kanałów.
Firmy mogą wykorzystywać te dane do informowania o strategiach zaangażowania, etapach podróży klienta, komunikacji, spersonalizowanych ofertach i dostawach, napisał Zveare w poście na blogu opisującym hack.
Luka pojawiła się w interfejsie programowania aplikacji, fragmencie kodu oprogramowania, który jest połączony z serwerem WWW. Interfejs API umożliwia aplikacjom internetowym i obiektom połączonym z Internetem, które działają na innym oprogramowaniu, komunikowanie się ze sobą i wymianę danych w celu wydajnego działania. Gdy interfejs API jednego serwera komunikuje się z innym serwerem, punkt końcowy interfejsu API określa miejsce, w którym inny interfejs API może uzyskać dostęp do danych. Punkt końcowy może zawierać adres URL serwera lub usługi.
„Toyota prawdopodobnie wierzyła, że nikt nie znajdzie produkcyjnego punktu końcowego API, ponieważ aplikacja produkcyjna została zablokowana, ale wygląda na to, że ich programiści umieścili go w aplikacji programistycznej” – powiedział Zveare. „Nie ma nic złego w ulepszaniu ładowania aplikacji”, ale w tym przypadku stworzyło to lukę w zabezpieczeniach.
Twórcy aplikacji Toyoty prawdopodobnie zrobili to, aby aplikacja ładowała się szybciej, powiedział Zveare.
Informacje o klientach Toyoty zostały ujawnione, ponieważ ustawienia aplikacji nie musiały być również uwierzytelniane.
„Toyota rozwiązała problem, przełączając niektóre witryny w tryb offline i aktualizując interfejsy API, aby wymagały tokena uwierzytelniającego” — powiedział Zveare. „Zasadniczo dzień po tym, jak zgłosiłem problem do Toyoty, przełączyli wszystkie witryny w tryb offline. Byłem pod wrażeniem, jak szybko zareagowali”.
Toyota prawdopodobnie spędziła kilka następnych tygodni na wprowadzaniu niezbędnych ulepszeń w zakresie bezpieczeństwa i upewnianiu się, że nikt nie ma złośliwego dostępu do żadnych informacji o klientach, powiedział Zveare.
Toyota nie wydała porady dotyczącej naruszenia, ponieważ prawdopodobnie nie wykryto złośliwego dostępu, powiedział Zveare.
W oddzielnym włamaniu w listopadzie Zveare włamał się do aplikacji używanej przez pracowników i dostawców Toyoty. Podczas tego włamania nie ujawniono żadnych danych klientów, ale dostęp w trybie odczytu i zapisu do 14 000 firmowych kont e-mail, powiązanych poufnych dokumentów, projektów, rankingów dostawców, komentarzy i innych informacji był dostępny.