豐田意外洩露安全憑證　全球客戶恐陷網路釣魚危機

編譯／鄭智懷

日本汽車大廠豐田（Toyota）驚傳在其義大利官方網站上傳一筆具有安全憑證的ENV檔案。該筆自2022年2月中上傳，直至本年（2023年）3月才被媒體發現的檔案，可能導致駭客獲取豐田客戶資料，並進一步用於網路釣魚攻擊。

根據網路媒體《Cybernews》報導，其名下資安團隊發現豐田上傳的ENV檔案向數位行銷公司Salesforce Marketing Cloud公開了公司的安全憑證。假使駭客獲得該檔案，即可利用內含的安全憑證自由進出豐田的資訊系統，竊取客戶的電話號碼、電子郵件地址與內容、簡訊與通知內容等資料，進而假冒豐田向攻擊目標寄送假簡訊和電子郵件，或是提供假活動訊息，造成營運面的困擾。

《Cybernews》的研究人員提到，鑒於「攻擊者可以登入與控制豐田的官方通訊管道」，本次洩密事件可能被用來「發起複雜的網路釣魚活動」；再加上來自合法官方管道，受害者更容易因此上當。

除了上述安全憑證外，該份ENV檔案還暴露了軟體公司 Mapbox的應用程式介面（API）令牌，提供網路犯罪者藉其大量查詢地圖資料，造成豐田應用程式介面使用成本大幅提升的不良後果。

在《Cybernews》向豐田通報上述錯誤後，後者已經修改了此存在超過一年半的資安漏洞。

豐田在公開聲明中指出，公司「已經採取了一套額外的措施以恢復和加強我們的網路安全系統和協議」，並且向義大利相關部門通報此次洩密事件且配合一切調查活動。該公司強調非常認真看待本案例與網路安全，會「藉此次機會從調查結果汲取教訓」，提升資安系統並防止再次發生類似事件。

資料來源：Cybernews

瀏覽 434 次