網絡安全本質中，人為因素是最值得注意的一點。

不久前，據路透社報道，豐田的 T-Connect 服務中的約 296,019 條客戶信息可能遭到了泄露，引發了不少車主的恐慌。對此，豐田最新發公告證實了這一事件的真實性，并表示「對于給您帶來的不便和擔憂，我們深感歉意」，而泄露的來源或許與第三方外包公司有關。

源碼被發布到了 GitHub

首先值得注意的是，豐田 T-Connect 是這家汽車制造商的官方連接應用程序，它的主要功能是可以讓豐田汽車車主將自己的智能手機與車輛的信息娛樂系統連接，可以共享電話、音樂、導航、通知、駕駛數據、發送機狀態和油耗等功能。

(資料圖)

2022 年 9 月 15 日，豐田發現 T-Connect 用戶站點的某些源代碼在 GitHub 平臺發布，這些源代碼包含了對數據服務器的訪問密鑰，而這些密鑰用于訪問存儲在數據服務器上的電子郵件地址和客戶管理號碼。

這使得未經授權的第三方可以在 2017 年 12 月至 2022 年 9 月 15 日期間訪問 296,019 名的客戶的詳細信息。

不過，就在這一天，豐田緊急對 GitHub 存儲庫的訪問設置限制，并在 9 月 17 日對數據服務器訪問密鑰進行了更改，清除了未經授權的第三方的所有潛在訪問。

這一次外包不是“背鍋俠”

在發現泄露事件的同時，豐田公司也即刻做出了排查，發現在 2017 年 12 月，T-Connect 網站開發外包公司違反處理規則，錯誤地將部分源代碼上傳到 GitHub 上，但是直到 2022 年 9 月 15 日才發現。

這也意味著，用戶信息在這五年間都有外泄的風險。為此，豐田解釋，客戶姓名、信用卡數據和電話號碼等信息未受到泄露，因為它們沒有存儲在公開的數據庫中，不過“由于開發外包公司對源代碼的處理不當，我們將與外包公司一起努力加強對客戶個人信息處理的管理，并加強其安全功能。”

不過，雖然數據沒有被盜用的跡象，豐田也提醒道，無法完全排除有人訪問和竊取數據的可能性。

其說道，“安全專家的調查表明，盡管我們無法根據存儲客戶電子郵件地址和客戶管理號碼的數據服務器的訪問歷史記錄來確認第三方的訪問，但同時，我們不能完全否認它（會被第三方盜用的可能性）。”

因此，對于可能泄露了電子郵件地址和客戶管理號碼的客戶，豐田公司稱，分別向注冊的電子郵件地址發送道歉信和通知。

人為因素是最大的變數

值得慶幸的是，存儲在服務器上的客戶管理號碼對第三方來說用處并不大，但是也會有不法分子會通過郵件等形式以豐田公司的名義發送一些釣魚網站。為此，豐田公司表示，提供了一個專用表單（https://www.toyota.co.jp/cmpnform/pub/co/contact-tconnect）并建立了專門的呼叫中心，以回答客戶的問題和疑慮。同時，其建議所有在 2017 年 7 月至 2022 年 9 月之間注冊的 T-Connect 用戶保持警惕，并避免打開來自聲稱是豐田的未知發件人的電子郵件及附件。

與此同時，據《每日經濟新聞》報道，豐田中國相關負責人回應道，這個情況是在日本發生的，不涉及中國用戶，主要是使用 T-connect 服務的客戶的郵箱地址和內部管理的號碼有被竊取的可能，別的信息都不受影響。

至此，雖然“暴露”在外長達五年的漏洞僥幸沒有造成太大的影響，但這類屢見不鮮的事件也時刻警醒著處于信息化時代下的各家公司。

據外媒 BleepingComputer 報道，在今年 9 月，賽門鐵克的安全分析師曾公布，近 2000 個 iOS 和 Android 應用程序在其代碼中包含硬編碼的 AWS 憑證。造成這種情況的，往往是開發者的疏忽大意，他會經常在代碼中存儲憑證，以便在測試多個應用迭代中快速且輕松地獲取資產、訪問服務和更新配置。

按理來說，當軟件準備好進行實際部署時，這些憑證應該被刪除的，但是很多開發者總是會忽略，從而造成數據泄露。

另一邊，為了減少漏洞的出現，全球最大的代碼托管平臺 GitHub 也在近年間致力于改進這一方面。去年 6 月，GitHub 宣布其將自動掃描公開 PyPI 和 RubyGems 機密的存儲庫，如憑據和 API 令牌。簡單來看，當 GitHub 發現密碼、API 令牌、私有 SSH 密鑰或公共存儲庫中公開的其他受支持的機密時，它會通知注冊表維護者。在今年，GitHub 還推出了一項由機器學習驅動的新代碼掃描分析功能，該代碼掃描功能可以針對站點腳本 (XSS)、路徑注入、NoSQL 注入和 SQL 注入四種常見漏洞模式顯示警報。

不過，歸根究底，開發者在自身開發的時候需要具備足夠強的技術能力同時，也需要有強烈的網絡、系統等安全意識。

參考鏈接：

https://global.toyota/jp/newsroom/corporate/38095972.html

https://www.bleepingcomputer.com/news/security/toyota-discloses-data-leak-after-access-key-exposed-on-github/

本文來自微信公眾號“CSDN”（ID:CSDNnews），整理：蘇宓，36氪經授權發布。