トヨタコネクティッド、データサーバーへのアクセスキー含むソースコードが公開され個人情報が閲覧可能状態
| 会社名 | トヨタコネクティッド株式会社 |
|---|---|
| 株式情報 | 非上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | データベース |
| 漏洩場所 | 社外 |
| 漏洩内容 | メールアドレス |
| 漏洩件数 | 296,019件 |
| 漏洩日時 | 2017/12~2022/9/15の間 |
| 発表日時 | 2022/10/7 |
トヨタコネクティッドにて、提供サービスの契約顧客個人情報が流出。トヨタ自動車及び同社が提供するコネクティッドサービス「T-Connect」にて、2017年7月以降「T-Connect」のユーザーサイトにて登録した顧客のメールアドレス含むソースコードの一部がGitHub上に公開されていたことにより2017年12月~2022年9月15日までアクセス可能な状態となっていたことが発覚した。
公開されていたソースコードにデータサーバーへのアクセスキーが含まれ、アクセスキーを利用してデータサーバーに保管されている顧客情報へのアクセスが可能であったことが判明した。T-Connectの開発委託先企業がソースコードの一部を誤って公開設定にしてアップロードしたことが原因で、流出発覚後、直ちにGitHub上の当該ソースコードを非公開にし、データサーバーのアクセスキーを変更した。
セキュリティ専門家による調査を行った結果、データサーバのアクセス履歴からは第三者によるアクセスは確認されなかった。 なお、氏名、電話番号、クレジットカード情報などは含まれておらず、二次被害も確認されていない。同社は漏えい対象顧客にお知らせ及びお詫びのメールを送信した。なお、T-Connectのサービスの影響などもない。
現時点では個人情報の不正利用は確認されていないが、メールアドレスが流出しているため、なりすましやフィッシング詐欺などの迷惑メールが送信される可能性があるため、差出人や件名に心当たりのない不審なメールを受信した場合にはメールや添付ファイルを開かずに削除するよう呼び掛けている。
