トヨタの社用車クラウドで情報漏えい 過去プロダクトのAWSアクセスキー無効化忘れ
トヨタの社用車クラウドで個人情報漏えいの可能性。別プロダクトで使っていたAWSの領域を流用した際、過去のアクセスキーを有効なままにしていたため。
トヨタモビリティサービスは2月16日、社用車専用クラウドサービス「Booking Car」ユーザーのメールアドレスや氏名、顔写真など約2万5000人分が漏えいした可能性があると発表した。
同サービスのデータを保管している「Amazon Web Services S3」(AWS)の領域で、過去の別プロダクトに用に設定していたAWSアクセスキーを無効化し忘れており、このアクセスキーを使えば顧客のメアドなどにアクセス可能だったことが判明したという。
漏えいした可能性があるのは、サービス開始当初の2020年10月から、問題発覚の2024年2月2日までに登録した企業・自治体の従業員・職員のメールアドレスと、顧客一人一人に割り振られた識別番号。
顔写真、車両キズ、車両の画像など顧客がアップロードした写真データ、メアド、氏名、電話番号、支店名、支店住所、部署名、役職、顔写真、IPアドレス、駐車場場所、行先なども漏えいした可能性があるという。
Booking Car開発にあたり、委託先企業が過去のプロダクト開発に使っていたAWS保存領域を利用したが、別プロダクト用に設定していたAWSアクセスキーを無効化や消去していなかったという。
このアクセスキーを使い、顧客のメアドと識別番号が保管されているデータサーバーに不正アクセスがあったことが2月2日に判明。保管データの削除が行われたことが分かったという。アクセスキーは同日中に変更した。
再発防止に向け、セキュリティ機能の強化に向けた取組みを進めるとしている。
関連記事
- トヨタ、ユーザーのメアド約30万件漏えいの可能性 ソースコードの一部、GitHubに5年間放置
トヨタ自動車は7日、クルマ向けネットワークサービス「T-Connect」ユーザーのメールアドレスと「お客様管理番号」、29万6019件が漏えいした可能性があると発表した。開発委託先のミスでユーザーサイトのソースコードの一部がGitHub上に5年間放置されていた。 - UUUMがGitHub上で情報漏えいの可能性 認証キーをWebサーバに放置
UUUMが、同社グループの管理するGitHubリポジトリでソースコードやデータベース内の個人情報などが流出した可能性があるとして謝罪した。ソースコードの取得に必要な認証キーがUUUMのWebサーバに放置されていた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.