Toyota Motor Corporation ha confirmado una brecha de datos que ha dejado expuesta la información de localización de los vehículos de 2.15 millones de clientes durante un período de diez años. El problema se originó por un error humano que hizo que un sistema en la nube de Toyota se configurara como público en lugar de privado. Este incidente afectó a los clientes de la marca Toyota y a los de su marca de lujo Lexus.
La exposición de datos se produce en un momento en que Toyota, el mayor fabricante de automóviles del mundo por ventas, está impulsando la conectividad de los vehículos y la gestión de datos basada en la nube, que se consideran cruciales para ofrecer la conducción autónoma y otras funciones respaldadas por la inteligencia artificial. Sin embargo, este error humano ha puesto en peligro la privacidad de los clientes y ha creado una gran preocupación en todo el mundo.
Según un aviso de seguridad publicado en la web de la compañía, la brecha de datos se produjo por una mala configuración de la base de datos que permitía a cualquiera acceder a su contenido sin contraseña. “Se descubrió que parte de los datos que Toyota Motor Corporation había confiado a Toyota Connected Corporation para su gestión se habían hecho públicos debido a una mala configuración del entorno de la nube”, se lee en el aviso.
Los datos expuestos incluyen el número de identificación del terminal de navegación GPS del vehículo, el número de chasis y la información sobre la ubicación del vehículo con datos horarios. Aunque no hay pruebas de que se haya hecho un uso indebido de los datos, usuarios no autorizados podrían haber accedido a los datos históricos y posiblemente a la localización en tiempo real de los vehículos afectados.
Es importante señalar que los detalles expuestos no constituyen información de identificación personal, por lo que no sería posible utilizar esta filtración de datos para rastrear a personas a menos que el atacante conociera el número de bastidor (VIN) del coche de su objetivo. El VIN de un coche, también conocido como número de chasis, es fácilmente accesible, por lo que alguien con suficiente motivación y acceso físico al coche de un objetivo podría, en teoría, haber explotado la fuga de datos de una década para rastrear su ubicación.
Un segundo comunicado de Toyota publicado en el sitio japonés “Toyota Connected” también menciona la posibilidad de que las grabaciones de vídeo tomadas fuera del vehículo hayan quedado expuestas en este incidente. El período de exposición de estas grabaciones se definió entre el 14 de noviembre de 2016 y el 4 de abril de 2023, es decir, casi siete años. De nuevo, la exposición de estos vídeos no afectaría gravemente a la privacidad de los propietarios de los vehículos, pero esto depende de las condiciones, el momento y la ubicación.
Toyota reincidente.
Es el segundo incidente de Toyota en el último año ya que en octubre de 2022, Toyota informó a sus clientes de otra larga brecha de datos de 300.000 clientes resultante de la exposición de una clave de acceso a la base de datos de clientes de T-Connect en un repositorio público de GitHub.
¿Encontraste este artículo interesante? Sigue a DDR en Twitter, Mastodon, LinkedIn, Tiktok y Facebook o suscríbete a nuestra newsletter.
[…] https://derechodelared.com/toyota-localizacion-brecha-de-datos/ […]