A gigante automotiva Toyota enfrenta um dos maiores casos de violação de dados da história do setor. Informações pessoais e de localização de cerca de 2,15 milhões de clientes estiveram publicamente acessíveis devido a uma falha de configuração em seu ambiente de nuvem por um período de dez anos, desde novembro de 2013 até abril de 2023.
O erro foi descoberto durante uma inspeção da Toyota Connected Corp., subsidiária da Toyota responsável pela gestão dos dados. A empresa confirmou que a violação ocorreu devido à falha dos funcionários em seguir corretamente as normas de manipulação de informações dos clientes. A organização anunciou que medidas estão sendo tomadas para melhorar a supervisão do sistema de computação em nuvem na subsidiária.
Detalhes da violação de dados
Dados expostos incluem números de identificação e informações de localização de veículos que utilizaram os serviços telemáticos da Toyota durante o período afetado. As vítimas são usuários dos serviços T-Connect, G-Link, G-Link Lite ou G-BOOK da Toyota. Apesar da magnitude da violação, até o momento, não há indicações de que os dados tenham sido usados de maneira maliciosa.
Embora nenhuma informação de identificação pessoal tenha sido exposta, os hackers poderiam, teoricamente, ter acesso à localização em tempo real de 2,15 milhões de veículos. Se um agente de ameaça descobrisse o VIN (Número de Identificação do Veículo), também conhecido como número do chassi, ele poderia potencialmente rastrear a localização de um veículo específico.
A Toyota também mencionou a possibilidade de vazamentos de gravações de vídeo associadas a esta violação de dados. Os vídeos externos gravados entre 14 de novembro de 2016 e 4 de abril de 2023 podem ter sido expostos, potencialmente impactando proprietários de veículos caso um hacker decida usar essas informações em um ataque mais abrangente.
Após a descoberta, a Toyota implementou medidas para bloquear o acesso externo ao banco de dados e continua investigando a extensão total da violação. A empresa prometeu enviar notificações individuais de desculpas aos clientes afetados e estabelecer um centro de atendimento dedicado para tratar de suas preocupações e solicitações.
Esse evento enfatiza o crescente desafio da segurança cibernética e a necessidade de políticas rigorosas e educação dos funcionários sobre as melhores práticas de segurança de dados. Em um estudo de 2022 da IBM sobre o custo de uma violação de dados, foi descoberto que a média global de custo de uma violação de dados era de US$ 4,35 milhões, o mais alto da história do relatório.
Vale lembrar que a Toyota já esteve envolvida com outro incidente de segurança recentemente. Em outubro de 2022 ela confirmou um vazamento que expôs os dados de 296.019 clientes após a postagem online da chave de acesso ao banco de dados de clientes T-Connect em um repositório GitHub público. O acesso não autorizado ao repositório GitHub foi bloqueado em 15 de setembro de 2022, mas a violação começou em dezembro de 2017.
Como uma das principais fabricantes de automóveis do mundo, a Toyota é um exemplo proeminente da necessidade urgente de práticas de segurança de dados sólidas. Embora a empresa tenha agido para mitigar o impacto desta violação, a exposição de dados de clientes por uma década destaca a importância da segurança cibernética e da proteção de dados na era digital.
Leia também:
Ciberataque ao Grupo Fleury: Entendendo a Possível Ameaça do Ransomware LockBit 3.0
Segurança cibernética: o que é e como proteger seus dados