热门:源码被外包误上传到 GitHub,丰田近 30 万数据遭泄露?

网络安全本质中,人为因素是最值得注意的一点。

不久前,据路透社报道,丰田的 T-Connect 服务中的约 296,019 条客户信息可能遭到了泄露,引发了不少车主的恐慌。对此,丰田最新发公告证实了这一事件的真实性,并表示「对于给您带来的不便和担忧,我们深感歉意」,而泄露的来源或许与第三方外包公司有关。


【资料图】

源码被发布到了 GitHub

首先值得注意的是,丰田 T-Connect 是这家汽车制造商的官方连接应用程序,它的主要功能是可以让丰田汽车车主将自己的智能手机与车辆的信息娱乐系统连接,可以共享电话、音乐、导航、通知、驾驶数据、发送机状态和油耗等功能。

2022 年 9 月 15 日,丰田发现 T-Connect 用户站点的某些源代码在 GitHub 平台发布,这些源代码包含了对数据服务器的访问密钥,而这些密钥用于访问存储在数据服务器上的电子邮件地址和客户管理号码。

这使得未经授权的第三方可以在 2017 年 12 月至 2022 年 9 月 15 日期间访问 296,019 名的客户的详细信息。

不过,就在这一天,丰田紧急对 GitHub 存储库的访问设置限制,并在 9 月 17 日对数据服务器访问密钥进行了更改,清除了未经授权的第三方的所有潜在访问。

这一次外包不是“背锅侠”

在发现泄露事件的同时,丰田公司也即刻做出了排查,发现在 2017 年 12 月,T-Connect 网站开发外包公司违反处理规则,错误地将部分源代码上传到 GitHub 上,但是直到 2022 年 9 月 15 日才发现。

这也意味着,用户信息在这五年间都有外泄的风险。为此,丰田解释,客户姓名、信用卡数据和电话号码等信息未受到泄露,因为它们没有存储在公开的数据库中,不过“由于开发外包公司对源代码的处理不当,我们将与外包公司一起努力加强对客户个人信息处理的管理,并加强其安全功能。”

不过,虽然数据没有被盗用的迹象,丰田也提醒道,无法完全排除有人访问和窃取数据的可能性。

其说道,“安全专家的调查表明,尽管我们无法根据存储客户电子邮件地址和客户管理号码的数据服务器的访问历史记录来确认第三方的访问,但同时,我们不能完全否认它(会被第三方盗用的可能性)。”

因此,对于可能泄露了电子邮件地址和客户管理号码的客户,丰田公司称,分别向注册的电子邮件地址发送道歉信和通知。

人为因素是最大的变数

值得庆幸的是,存储在服务器上的客户管理号码对第三方来说用处并不大,但是也会有不法分子会通过邮件等形式以丰田公司的名义发送一些钓鱼网站。为此,丰田公司表示,提供了一个专用表单(https://www.toyota.co.jp/cmpnform/pub/co/contact-tconnect)并建立了专门的呼叫中心,以回答客户的问题和疑虑。同时,其建议所有在 2017 年 7 月至 2022 年 9 月之间注册的 T-Connect 用户保持警惕,并避免打开来自声称是丰田的未知发件人的电子邮件及附件。

与此同时,据《每日经济新闻》报道,丰田中国相关负责人回应道,这个情况是在日本发生的,不涉及中国用户,主要是使用 T-connect 服务的客户的邮箱地址和内部管理的号码有被窃取的可能,别的信息都不受影响。

至此,虽然“暴露”在外长达五年的漏洞侥幸没有造成太大的影响,但这类屡见不鲜的事件也时刻警醒着处于信息化时代下的各家公司。

据外媒 BleepingComputer 报道,在今年 9 月,赛门铁克的安全分析师曾公布,近 2000 个 iOS 和 Android 应用程序在其代码中包含硬编码的 AWS 凭证。造成这种情况的,往往是开发者的疏忽大意,他会经常在代码中存储凭证,以便在测试多个应用迭代中快速且轻松地获取资产、访问服务和更新配置。

按理来说,当软件准备好进行实际部署时,这些凭证应该被删除的,但是很多开发者总是会忽略,从而造成数据泄露。

另一边,为了减少漏洞的出现,全球最大的代码托管平台 GitHub 也在近年间致力于改进这一方面。去年 6 月,GitHub 宣布其将自动扫描公开 PyPI 和 RubyGems 机密的存储库,如凭据和 API 令牌。简单来看,当 GitHub 发现密码、API 令牌、私有 SSH 密钥或公共存储库中公开的其他受支持的机密时,它会通知注册表维护者。在今年,GitHub 还推出了一项由机器学习驱动的新代码扫描分析功能,该代码扫描功能可以针对站点脚本 (XSS)、路径注入、NoSQL 注入和 SQL 注入四种常见漏洞模式显示警报。

不过,归根究底,开发者在自身开发的时候需要具备足够强的技术能力同时,也需要有强烈的网络、系统等安全意识。

参考链接:

https://global.toyota/jp/newsroom/corporate/38095972.html

https://www.bleepingcomputer.com/news/security/toyota-discloses-data-leak-after-access-key-exposed-on-github/

关键词: 电子邮件地址 服务器的 的可能性