Le constructeur automobile TOYOTA a indiqué que les données de localisation des véhicules de 2,15 millions de clients étaient publiquement accessibles pendant plus de 10 ans.

Dans un communiqué posté le 12 mai 2023, le constructeur japonais justifie cet incident par une « mauvaise configuration de l’environnement Cloud », qui permettait à des personnes non autorisées d’accéder librement aux données.

Tous les propriétaires d’un véhicule TOYOTA et d’un abonnement « T-Connect », « G-Link », « G-Link Lite », ou G-BOOK » souscrits lors des 10 dernières années sont concernés. Le numéro du véhicule, qui semble être le numéro de chassis du véhicule, ainsi que la date/heure et la localisation du véhicule font partie des données compromises.

Le communiqué de TOYOTA :

« Toyota Motor Corporation (TMC) a découvert qu’une partie des données dont elle confie la gestion à Toyota Connected Corporation (TC) avait été rendue publique en raison d’une mauvaise configuration de l’environnement Cloud.

Depuis la découverte de cet incident, des mesures ont été prises pour bloquer l’accès depuis l’extérieur de l’entreprise, mais une enquête est en cours concernant tous les environnements Cloud gérés par TC. Nous nous excusons pour les désagréments et les inquiétudes que cela peut causer à nos clients et aux autres parties prenantes.

À ce jour, nous avons connaissance des incidents suivants :

Informations sur les clients susceptibles d’avoir été consultées par une source externe : ID du terminal embarqué, numéro VIN (numéro d’identification attribué au véhicule), localisation du véhicule et heure.

Clients concernés : Clients ayant souscrit à T-Connect/G-Link/G-Link Lite/G-BOOK entre le 2 janvier 2012 et le 17 avril 2023 (environ 2,15 millions de clients).

Période pendant laquelle le système était accessible de l’extérieur : 6 novembre 2013 - 17 avril 2023

Les clients dont l’ID, le VIN, la localisation du véhicule et l’heure ont pu être compromis recevront des excuses séparées et une notification à leur adresse électronique enregistrée. En outre, un centre d’appel dédié sera mis en place pour répondre à toutes les questions ou préoccupations des clients.

Nous pensons que des explications inadéquates sur les règles de traitement des données ont été la principale cause de l’incident, et nous travaillerons en étroite collaboration avec TC pour former les employés de manière approfondie et éviter que cela ne se reproduise, tout en introduisant un système d’audit des paramètres Cloud […].

Même si les informations sur les clients qui ont pu être consultées de l’extérieur, le client ne peut pas être identifié à partir de ces seules données.

Depuis la découverte de cet incident, aucune preuve d’une utilisation de ces informations par des tiers n’a été confirmé et, à l’heure actuelle, aucun dommage n’a été identifié, mais nous continuerons à mettre en œuvre des mesures préventives pour renforcer davantage notre système de gestion dans le traitement des informations à caractère personnel. […] »

— Communiqué de Toyota, 12/05/2023, traduit

Lire :