Zveare は、顧客の名前、住所、電話番号、電子メール アドレス、納税者番号、車両、サービス、および所有履歴にアクセスしました。メキシコのトヨタの顧客数は不明です。 彼は自動車メーカーの企業ログイン画面をバイパスし、アプリケーションの開発環境を変更しました。 アプリケーションが稼働する前に、アプリケーションの機能のテストが行われます。
トヨタは言った 自動車ニュース 電子メールでは、「サイバー脅威を非常に真剣に受け止めている」、「報告された脆弱性を迅速に修復した」と述べています。
自動車メーカーは、トヨタのシステムへの悪意のあるアクセスの証拠はなく、Zveare が行った調査に感謝していると述べた。 セキュリティ脆弱性開示プログラムにアクセスして、他のハッカーをパートナーに招待しました ハッカーワン.
トヨタの C360 アプリケーションは、会社全体から顧客に関するデータを集約します。 単一のビューで、従業員は顧客の名前、住所、連絡先情報、性別、および会社とのやり取りを確認できます。 この情報には、購入履歴、請求、サービスの問題、ソーシャル プレゼンス、チャネル設定が含まれます。
企業はこのデータを使用して、エンゲージメント戦略、カスタマージャーニーのステップ、コミュニケーション、パーソナライズされたオファーと配達を知らせることができます. ブログ投稿 ハックの概要。
この脆弱性は、Web サーバーに接続されているソフトウェア コードの一部であるアプリケーション プログラミング インターフェースで発生しました。 この API を使用すると、さまざまなソフトウェアで動作する Web ベースのアプリケーションとインターネットに接続されたオブジェクトが相互に通信し、データを交換して効率的に動作できます。 あるサーバーの API が別のサーバーと通信する場合、API のエンドポイントは、別の API がデータにアクセスできる場所を指定します。 エンドポイントには、サーバーまたはサービスの URL を含めることができます。
「トヨタは、本番アプリがロックダウンされたため、誰も本番 API エンドポイントを見つけられないと考えていた可能性がありますが、開発者がそれを開発アプリに含めたようです」と Zveare 氏は述べています。 「アプリの読み込みエクスペリエンスを向上させることに何の問題もありません」が、この場合、セキュリティ上の脆弱性が生じました。
トヨタのアプリケーションの開発者は、アプリケーションの読み込みを高速化するためにこれを行った可能性が高い、と Zveare 氏は述べています。
アプリケーションの設定も認証する必要がなかったため、トヨタの顧客情報が公開されました。
「トヨタは、一部のサイトをオフラインにし、認証トークンを要求するように API を更新することで問題を解決しました」と Zveare 氏は述べています。 「トヨタに問題を報告した 1 日後に、すべてのサイトがオフラインになりました。彼らの迅速な対応には感銘を受けました。」
トヨタは今後数週間、必要なセキュリティの改善を行い、悪意を持って顧客情報にアクセスする人がいないことを確認することに費やした可能性が高い、と Zveare 氏は述べています。
悪意のあるアクセスが見つからなかった可能性が高いため、トヨタは侵害に関する勧告を出さなかった、と Zveare 氏は述べた。
11 月の別のハッキングで、Zveare はトヨタの従業員とサプライヤーが使用するアプリケーションを侵害しました。 このハッキングでは顧客データは公開されませんでしたが、14,000 の企業電子メール アカウント、関連する機密文書、プロジェクト、サプライヤー ランキング、コメント、その他の情報への読み書きアクセスが可能でした。