Toyota va confirmar que les dades dels clients van ser exposades en una violació de dades de tercers després que un actor d’amenaces filtrés un arxiu de 240 GB de dades robades en un fòrum de pirateria.

«Som conscients de la situació. El problema té un abast limitat i no és un problema a tot el sistema», va dir Toyota a BleepingComputer quan se li va demanar que validés les afirmacions de l’actor de l’amenaça.

L’empresa va afegir que «està compromesa amb els afectats i oferirà assistència si cal», però encara no ha proporcionat informació sobre quan va descobrir la violació, com va tenir accés l’atacant i quantes persones van tenir les seves dades exposades a l’incident.

Un dia després, un portaveu va aclarir en una nova declaració compartida amb BleepingComputer que els sistemes de Toyota Motor North America «no estaven infringits ni compromesos», i que les dades sembla que van ser robades a «una entitat de tercers que es publicita inadequadament com a Toyota».

Quan se li va demanar que comparteixi el nom de l’entitat de tercers violada, el portaveu va dir que Toyota Motor North America «no tenia l’autorització per revelar” aquesta informació.

Dades d’empleats i clients exposades

ZeroSevenGroup (l’actor d’amenaces que va filtrar les dades robades) diu que van violar una sucursal dels Estats Units i van poder robar 240 GB de fitxers amb informació sobre empleats i clients de Toyota, així com contractes i informació financera.

També afirmen haver recopilat informació de la infraestructura de xarxa, incloses les credencials, mitjançant l’eina ADRecon de codi obert que ajuda a extreure grans quantitats d’informació dels entorns Active Directory.

«Hem piratejat una sucursal als Estats Units a un dels fabricants d’automòbils més grans del món (TOYOTA). Estem molt contents de compartir de franc i aquí els fitxers amb vosaltres. La mida de les dades: 240 GB», afirma l’actor de l’amenaça.

«Continguts: tot com contactes, finances, clients, plans, empleats, fotos, bases de dades, infraestructura de xarxa, correus electrònics i moltes dades perfectes. També us oferim AD-Recon per a tota la xarxa víctima de l’atac amb contrasenyes».

Tot i que Toyota no ha compartit la data de l’incompliment, BleepingComputer va trobar que els fitxers havien estat robats o, almenys, creats el 25 de desembre de 2022. Aquesta data podria indicar que l’actor de l’amenaça va tenir accés a un servidor de còpia de seguretat on s’emmagatzemaven les dades.

L’any passat, la filial de Toyota, Toyota Financial Services (TFS), va avisar clients al desembre que les seves dades delicades, personals i financeres, van quedar exposades en una violació de dades derivada d’un Atac de programari de segrest Medusa que va afectar les divisions europees i africanes del fabricant d’automòbils japonès al novembre.

Mesos abans, al maig, Toyota va revelar una altra violació de dades i va revelar que s’ha exposat informació sobre la ubicació dels cotxes de 2.150.000 clients durant deu anys, entre el 6 de novembre de 2013 i el 17 d’abril de 2023, a causa d’una configuració incorrecta de la base de dades al voltant del núvol de l’empresa.

Setmanes després, es va trobar dos serveis addicionals de núvol mal configurats que van permetre la filtració de la informació personal dels clients de Toyota durant més de set anys.

Després d’aquests dos incidents, Toyota va dir que havia implementat un sistema automatitzat per controlar les configuracions del núvol i la configuració de la base de dades en tots els seus entorns per evitar aquestes fuites en el futur.

Diverses filials de vendes de Toyota i Lexus van ser víctimes  d‘una violació de dades el 2019 quan els atacants van robar i filtrar el que la companyia va descriure en aquell moment com «fins a 3,1 milions d’elements d’informació dels clients».