意大利丰田意外泄露敏感数据
据 CyberNews 报道,丰田意大利公司意外泄露了超过一年半的敏感数据,直到今年 3 月。
一家日本跨国公司意外泄露了对其营销工具的访问权限,使攻击者能够对其在意大利的庞大客户群发起网络钓鱼活动。
丰田意大利意外泄露了一年半多的敏感数据,直到今年3月。也就是说,它公开了其Salesforce Marketing Cloud和Mapbox API的秘密。威胁行为者可能会滥用此信息来获取丰田客户的电话号码和电子邮件地址,并滥用它们发起网络钓鱼攻击。
Cybernews 已联系汽车制造商,在撰写本文时,数据集已得到保护。该公司表示,它采取了额外措施来加强其网络安全系统和协议。
公开凭据
2 月14日,Cybernews研究团队在丰田意大利官方网站上发现了一个环境文件 (.env)。
丰田可以说是全球最大的汽车制造商,拥有超过370,000名员工,去年的收入约为2670亿美元。在欧洲,它直接雇佣了超过25,000名员工,并经营着八家制造工厂。虽然没有关于丰田在意大利有多大的官方数据,但该公司已经在该国存在了半个多世纪。
根据Statista的数据,丰田意大利公司的收入预计到2023年将达到约18亿美元,汽车销量预计将接近83,000辆。
根据Cybernews研究团队的说法,该公司向数字营销自动化和分析软件及服务提供商Salesforce Marketing Cloud公开了凭据。威胁行为者可以滥用数据访问电话号码和电子邮件地址、客户跟踪信息以及电子邮件、短信和推送通知内容。
这些凭据可以进一步被用来发送虚假的SMS消息和电子邮件、编辑和启动营销活动、创建自动化脚本、编辑与Salesforce营销云相关的内容,甚至向丰田的客户发送推送通知。
“这次泄密事件意义重大,因为它可能被用来发起一些复杂的网络钓鱼活动,因为攻击者可以访问和控制丰田的官方通信渠道,从而使受害者更有可能落入此类攻击,因为发件人信息会是合法的,”Cybernews研究人员说。
丰田意大利还暴露了软件公司Mapbox的应用程序编程接口(API)令牌,用于查询地图数据。虽然数据不像Salesforce Marketing Cloud凭据那样敏感,但威胁行为者可能会滥用它来查询大量请求并增加丰田API使用的成本。
该环境文件于2021年5月21日首次被物联网(IoT)搜索引擎编入索引,这意味着它已经向公众公开了一年半以上。
丰田的回应
在Cybernews将此漏洞告知公司后,它立即采取了所有必要的措施来补救这种情况,据丰田称,这是由于未能遵守公司的数据安全政策造成的。
“已经采取了一套额外的对策来恢复和加强我们的网络安全系统和协议。我们已向意大利有关当局报告了隐私数据暴露的风险,并全力配合正在进行的调查,”丰田表示。
它补充说:“丰田非常认真地对待这个案例,以及一般的网络安全。我们借此机会从调查结果中吸取教训,进一步提升我们网络安全系统和协议的稳健性,以防止类似事件再次发生。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/5481.html
