Ein Zugangsschlüssel zu einem Datenserver von Toyota lag fast fünf Jahre in einem öffentlichen Repository auf GitHub.
Fast fünf Jahre lang war ein Zugangsschlüssel für einen Datenserver von Toyota öffentlich auf GitHub abrufbar. Der Automobilkonzern empfiehlt betroffenen Kunden der T-Connect-App sich vor möglichen Phishing-Angriffen zu schützen. Denn zahlreiche E-Mail-Adressen könnten somit zwischenzeitlich ihren Weg in die Weiten des Internets gefunden haben.
Ein Zugangsschlüssel zum Toyota-Datenserver war öffentlich verfügbar
Ein Teil des Quellcodes der T-Connect-App der Toyota Motor Corporation war offenbar fast fünf Jahre lang öffentlich auf GitHub gespeichert und konnte heruntergeladen werden. Besonders brisant ist daran jedoch, dass dieser Code einen Zugangsschlüssel zum Datenserver des Unternehmens enthielt. Damit war es Angreifern potenziell möglich, E-Mail-Adressen und Verwaltungsnummern der Kunden des Automobilherstellers abzugreifen.
Zwischen Dezember 2017 und September 2022 lagen laut der offiziellen Ankündigung von Toyota Daten von insgesamt 296.019 Kunden offen, die sich seit Juli 2017 bei T-Connect registriert hatten. Erst am 17. September änderte das Unternehmen die Zugangsschlüssel, sodass ein Zugriff durch Unbefugte fortan nicht mehr möglich ist.
Bei T-Connect handelt es sich um eine Anwendung, durch die Besitzer von Toyota-Fahrzeugen ihr Smartphone mit dem Infotainment-System verbinden können. Damit kann man mitunter Anrufe tätigen und Musik abspielen. Aber auch Benachrichtigungen, die Fahrdaten, Motorstatus und Kraftstoffverbrauch sind darüber abrufbar.
Betroffene Kunden sollten sich vor Phishing in acht nehmen
Das Unternehmen versichert, keine Kundennamen, Kreditkartendaten oder Telefonnummern in der betroffenen Datenbank gespeichert zu haben. Außerdem habe es keinerlei Anzeichen für einen tatsächlich erfolgten Datenmissbrauch gegeben, wenngleich sich dieser nicht vollständig ausschließen lasse.
Toyota empfiehlt betroffenen Kunden daher besonders wachsam in Bezug auf verdächtige E-Mails in ihrem Postfach zu sein, deren Absender oder Betreff ihnen fragwürdig erscheint. Nachrichten dieser Art sollten die Anwender sicherheitshalber sofort löschen und auf gar keinen Fall darin enthaltene Dateianhänge oder Links öffnen. Es sei denkbar, dass Angreifer die E-Mail-Adressen für gezielte Phishing-Kampagnen missbrauchen. Dabei sei auch eine Tarnung des Schriftverkehrs als offizielle Mitteilung von Toyota nicht auszuschließen.
Nicht nur bei Toyota landen Zugangsschlüssel im Quellcode
Dass brisante Anmeldeinformationen ihren Weg in den Quellcode verschiedener Anwendungen finden, ist leider keine Seltenheit. Viele Softwareentwickler hinterlegen hart codierte Zugangsschlüssel, um mitunter interne Testvorgänge zu vereinfachen und dadurch Zeit zu sparen. Doch leider kommt es häufig vor, dass diese Entwickler vergessen, die Schlüssel vor dem Release der Software auch wieder zu entfernen.
Wenn dann noch, wie im Fall von Toyota, der Teil des Quellcodes öffentlich zugänglich ist, in dem die Zugangsschlüssel gespeichert sind, kann plötzlich jeder auf Daten zugreifen, die eigentlich nur für ganz bestimmte Augen vorgesehen waren. Zwar hat GitHub mittlerweile eine Codeprüfung implementiert, um Commits zu blockieren, die Authentifizierungsschlüssel enthalten. Doch dieses System kann naturgemäß keine benutzerdefinierten Token erkennen.