Mã nguồn ứng dụng T-Connet của Toyota bị nhà thầu công nghệ bỏ quên trên cơ sở dữ liệu dùng chung GitHub, đe dọa rò rỉ thông tin của hơn 300,000 người dùng mua và sử dụng xe Toyota.
Tập đoàn ô tô Nhật Bản Toyota Motor có một ứng dụng chỉ định trên điện thoại thông minh – T-Connect kết nối chủ xe với xe ô tô với nhưng tính năng khác nhau như kiểm tra tình trạng xe từ xa, khóa và mở cửa xe từ xa, thông tin dựa trên bản đồ về vị trí xe nằm trong một bãi đậu xe giữa những xe khác. Cơ bản, ứng dụng này mang một lượng lớn dữ liệu cần thiết cho mỗi người dùng.
Nhưng gần đây, Toyota phát hiện được, nhà thầu công nghệ của công ty đã để mã nguồn liên quan đến các dịch vụ T-Connect bị lộ công khai trên GitHub, dịch vụ kho lưu trữ mã nguồn trong 5 năm liên tiếp. Toyota phát hiện vấn đề này ngày 15/ 9/2022 và việc tiết lộ mã nguồn này có nghĩa là dữ liệu cá nhân của gần 300.000 tài xế đối mặt với nguy cơ bị xâm phạm .
Tech Wire Asia, dẫn tuyên bô của Toyota cho biết: “Tháng 12/2017, nhà thầu phụ phát triển trang web T-Connect đã tải nhầm một phần mã nguồn lên tài khoản GitHub của họ ở chế độ công khai, vi phạm mọi quy tắc bảo mật”. Nói một cách đơn giản, từ tháng 12/2017 đến ngày 15/9/ 2022, một hoặc nhiều bên thứ ba đã có thể truy cập một phần của mã nguồn trên GitHub.
Toyota phát hiện thấy “mã nguồn được lưu trữ mở trên GitHub có chứa một khóa truy cập vào máy chủ dữ liệu, sử dụng khóa này có thể truy cập vào địa chỉ email và số quản lý khách hàng, được lưu trữ trong máy chủ dữ liệu”. Ngay sau khi phát hiện ra, Toyota đã khóa mã nguồn và các khách hàng bị ảnh hưởng cũng được thông báo. Điều mà Toyota vẫn chưa thể xác nhận cho đến nay là liệu dữ liệu có thực sự bị truy cập hoặc tải xuống tại một thời điểm bất kỳ nào hay không.
Đồng thời, Toyota cũng không xác định được, những dữ liệu đó có nguy cơ bị lạm dụng hay không. Trong thực tế sử dụng, Toyota T-Connect là ứng dụng kết nối chính thức của nhà sản xuất ô tô, cho phép chủ sở hữu xe Toyota liên kết điện thoại thông minh với hệ thống thông tin giải trí của xe để gọi điện, nghe nhạc, điều hướng, nhận các thông báo, dữ liệu lái xe, tình trạng động cơ, mức tiêu thụ nhiên liệu và nhiều hơn hơn.
Sau khi phát hiện mã nguồn không được bảo mật, ngày 17/9/ 2022, tất cả các mã khóa của cơ sở dữ liệu được thay đổi, loại bỏ mọi truy cập tiềm năng từ các bên thứ ba trái phép.
“Theo kết quả điều tra của các chuyên gia bảo mật, mặc dù không thể xác nhận quyền truy cập của bên thứ ba trên cơ sở lịch sử truy cập của máy chủ dữ liệu, nơi lưu trữ địa chỉ email và số quản lý khách hàng của khách hàng nhưng chúng tôi không thể phủ nhận hoàn toàn khả năng truy cập.”tuyên bố của Toyota giải thích.
Tuyên bố cho thấy, tất cả người dùng T-Connect, đăng ký từ tháng 7/2017 đến tháng 9/ 2022 được khuyến cáo nên cảnh giác trước các âm mưu lừa đảo và tránh mở những tệp đính kèm email từ những người gửi không xác định, tự xưng là nhân viên Toyota.
Các chuyên gia cho rằng, những lỗi trong quá trình phát triển vi phạm an inh thông tin ngày nay thường gây tai họa cho các tổ chức và trong hầu hết các trường hợp, chính khách hàng phải trả giá sau khi những kẻ tấn công phát hiện ra lỗi, xâm nhập vào hệ thống và dữ liệu.
Barrier Network, công ty cung cấp dịch vụ bảo vệ, phát hiện và ứng phó an ninh mạng, quản lý CISO Jordan Schroeder trong một phát biểu qua email nhấn mạnh, các tổ chức phải kiểm soát chặt chẽ mã nguồn và quản lý bảo mật như khóa truy cập cơ sở dữ liệu. Hoàn toàn có khả năng những tội phạm mạng đã truy cập cơ sở dữ liệu và Toyota không bao giờ biết chắc chắn về các vụ đột nhập.
“Giải quyết những nhược điểm này đòi hỏi phải thực hiện nghiêm công tác quản lý đảm bảo bí mật, khóa truy cập vào các máy chủ phải được bảo vệ và không được mã hóa cứng vào phần mềm bằng phương pháp khóa môi trường phát triển, ngăn khả năng mọi người đều có thể truy cập rộng rãi, thiết lập hệ thống tự động bảo mật kho lưu trữ mã nguồn và đánh giá truy cập, đồng thời tự động tìm kiếm trên internet để phát hiện các đoạn mã (code) có thể chỉ ra sự rò rỉ mã nguồn, ” dịch vụ cho biết.
Trịnh Thái Bằng