Seit 2013 konnten Kriminelle das Datenleck nutzen, um Toyota-Kunden anhand der Fahrgestellnummer ihres Fahrzeugs zu verfolgen.
Rund zehn Jahre lang konnten sich Kriminelle an einem Datenleck bei Toyota bedienen, um anhand der Fahrgestellnummer eine Zielperson aktiv zu verfolgen. Die Standortdaten von mehr als zwei Millionen Toyota-Kunden waren seit 2013 frei zugänglich. Ab 2016 sollen durch die Datenpanne auch Videoaufzeichnungen von Außenkameras verfügbar gewesen sein.
Standortdaten von Toyota-Kunden ließen sich ohne Passwort abrufen
Wie die Toyota Motor Corporation gestern bekannt gab, sorgte ein Datenleck in der Cloud-Infrastruktur des Unternehmens dafür, dass die Standortdaten von etwa 2.150.000 Kunden für rund zehn Jahre offen für jedermann zugänglich waren. Grund dafür sei eine Fehlkonfiguration der Datenbank gewesen, die einen freien Zugriff ohne jegliche Sicherheitsbarriere ermöglichte.
Durch die Datenpanne konnten potenzielle Angreifer die Standortdaten der betroffenen Toyota-Kunden zwischen dem 6. November 2013 und dem 17. April 2023 ohne die Eingabe eines Passwortes abrufen. Betroffen sind der offiziellen Mitteilung zufolge all jene Kunden, die ab dem 2. Januar 2012 von den Diensten T-Connect, G-Link, G-Link Lite oder G-BOOK Gebrauch machten.
Bei T-Connect handelt es sich um eine Anwendung, mit der Benutzer ihr Smartphone mit dem Infotainment-System ihres Fahrzeugs verbinden können. Somit lassen sich darüber beispielsweise Anrufe tätigen oder Musik abspielen. Aber auch ein Zugriff auf Fahrzeugdaten sowie der Kontakt zum Kundendienst ist über die App möglich.
Die von Toyota entwickelte Anwendung war bereits im letzten Jahr durch ein Datenleck aufgefallen. Ursache war damals ein Teil des Quellcodes, der über mehrere Jahre offen lag. Dieser enthielt mitunter einen Zugangsschlüssel zu einem Datenserver des Unternehmens.
Tracking via Fahrgestellnummer war möglich
Die neue Datenpanne umfasste neben einer Terminal-ID-Nummer und der Fahrgestellnummer (FIN) betroffener Toyota-Fahrzeuge sämtliche in der Datenbank gespeicherte Standortinformationen inklusive Zeitangaben.
Wer die FIN eines Toyota-Fahrzeugs kannte, hätte dessen Besitzer theoretisch über das Datenleck jahrelang aufspüren können. Und das sogar ganz ohne Apple Airtag. Bei physischem Zugriff auf das Auto die Fahrgestellnummer herauszufinden, ist für Kriminelle gewiss keine große Herausforderung.
Der Hersteller behauptet zwar, es gebe bisher keine Hinweise auf einen tatsächlichen Abruf oder Missbrauch der Daten. Mit Gewissheit auszuschließen ist sowas aber üblicherweise nicht. Für so manch eine Polizeibehörde wäre der Zugriff auf die Standortdaten aber sicher nützlich gewesen. Denn darüber hätte man zumindest ein paar gestohlene Toyotas aufspüren können.
Toyota-Datenleck enthielt auch Videoaufzeichnungen von Außenkameras
Wie BleepingComputer berichtet, habe es sogar noch eine zweite Ankündigung seitens Toyota Connected gegeben. Folglich sollen ebenfalls einige Videoaufnahmen zugänglich gewesen sein, die außerhalb der Fahrzeuge entstanden sind. Diese waren demnach zwischen dem 14. November 2016 und dem 4. April 2023 durch Unbefugte abrufbar.
Betroffenen Kunden will der Fahrzeughersteller Entschuldigungsschreiben per E-Mail zukommen lassen. Darüber hinaus richte Toyota in Kürze ein spezielles Callcenter ein, das ausschließlich für Fragen und Bedenken der durch das Datenleck betroffenen Personen zur Verfügung stehe.
