Der Käufer dieses Toyota Starlets von 1982 braucht sich um seine Kundendaten wahrscheinlich nicht zu sorgen
Der Käufer dieses Toyota Starlets von 1982 braucht sich um seine Kundendaten wahrscheinlich nicht zu sorgen
Bildquelle: bettorodrigues, Lizenz

Toyota: Daten von 296.019 Kunden waren öffentlich zugänglich

Ein Zugangsschlüssel zu einem Datenserver von Toyota lag fast fünf Jahre in einem öffentlichen Repository auf GitHub.

Fast fünf Jahre lang war ein Zugangsschlüssel für einen Datenserver von Toyota öffentlich auf GitHub abrufbar. Der Automobilkonzern empfiehlt betroffenen Kunden der T-Connect-App sich vor möglichen Phishing-Angriffen zu schützen. Denn zahlreiche E-Mail-Adressen könnten somit zwischenzeitlich ihren Weg in die Weiten des Internets gefunden haben.

Ein Zugangsschlüssel zum Toyota-Datenserver war öffentlich verfügbar

Ein Teil des Quellcodes der T-Connect-App der Toyota Motor Corporation war offenbar fast fünf Jahre lang öffentlich auf GitHub gespeichert und konnte heruntergeladen werden. Besonders brisant ist daran jedoch, dass dieser Code einen Zugangsschlüssel zum Datenserver des Unternehmens enthielt. Damit war es Angreifern potenziell möglich, E-Mail-Adressen und Verwaltungsnummern der Kunden des Automobilherstellers abzugreifen.

Zwischen Dezember 2017 und September 2022 lagen laut der offiziellen Ankündigung von Toyota Daten von insgesamt 296.019 Kunden offen, die sich seit Juli 2017 bei T-Connect registriert hatten. Erst am 17. September änderte das Unternehmen die Zugangsschlüssel, sodass ein Zugriff durch Unbefugte fortan nicht mehr möglich ist.

Bei T-Connect handelt es sich um eine Anwendung, durch die Besitzer von Toyota-Fahrzeugen ihr Smartphone mit dem Infotainment-System verbinden können. Damit kann man mitunter Anrufe tätigen und Musik abspielen. Aber auch Benachrichtigungen, die Fahrdaten, Motorstatus und Kraftstoffverbrauch sind darüber abrufbar.

Betroffene Kunden sollten sich vor Phishing in acht nehmen

Das Unternehmen versichert, keine Kundennamen, Kreditkartendaten oder Telefonnummern in der betroffenen Datenbank gespeichert zu haben. Außerdem habe es keinerlei Anzeichen für einen tatsächlich erfolgten Datenmissbrauch gegeben, wenngleich sich dieser nicht vollständig ausschließen lasse.

Toyota empfiehlt betroffenen Kunden daher besonders wachsam in Bezug auf verdächtige E-Mails in ihrem Postfach zu sein, deren Absender oder Betreff ihnen fragwürdig erscheint. Nachrichten dieser Art sollten die Anwender sicherheitshalber sofort löschen und auf gar keinen Fall darin enthaltene Dateianhänge oder Links öffnen. Es sei denkbar, dass Angreifer die E-Mail-Adressen für gezielte Phishing-Kampagnen missbrauchen. Dabei sei auch eine Tarnung des Schriftverkehrs als offizielle Mitteilung von Toyota nicht auszuschließen.

Nicht nur bei Toyota landen Zugangsschlüssel im Quellcode

Dass brisante Anmeldeinformationen ihren Weg in den Quellcode verschiedener Anwendungen finden, ist leider keine Seltenheit. Viele Softwareentwickler hinterlegen hart codierte Zugangsschlüssel, um mitunter interne Testvorgänge zu vereinfachen und dadurch Zeit zu sparen. Doch leider kommt es häufig vor, dass diese Entwickler vergessen, die Schlüssel vor dem Release der Software auch wieder zu entfernen.

Wenn dann noch, wie im Fall von Toyota, der Teil des Quellcodes öffentlich zugänglich ist, in dem die Zugangsschlüssel gespeichert sind, kann plötzlich jeder auf Daten zugreifen, die eigentlich nur für ganz bestimmte Augen vorgesehen waren. Zwar hat GitHub mittlerweile eine Codeprüfung implementiert, um Commits zu blockieren, die Authentifizierungsschlüssel enthalten. Doch dieses System kann naturgemäß keine benutzerdefinierten Token erkennen.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.