Toyota hat bestätigt, dass sein Netzwerk kompromittiert wurde, nachdem ein Angreifer ein Archiv mit 240 GB an gestohlenen Daten auf einem Hackerforum veröffentlicht hatte.
„Wir sind uns der Situation bewusst. Das Problem ist begrenzt und betrifft nicht das gesamte System“, teilte Toyota BleepingComputer mit, als sie zur Validierung der Behauptungen des Angreifers angefragt wurden.
Das Unternehmen fügte hinzu, dass es „mit den betroffenen Personen in Kontakt steht und bei Bedarf Unterstützung leisten wird“, jedoch hat Toyota bisher keine Informationen darüber bereitgestellt, wann der Vorfall entdeckt wurde, wie der Angreifer Zugang erlangte und wie viele Personen von dem Datenleck betroffen sind.
Der Bedrohungsakteur, der sich als ZeroSevenGroup bezeichnet, behauptet, er habe eine Niederlassung in den USA gehackt und dabei 240 GB an Dateien mit Informationen über Toyota-Mitarbeiter und -Kunden sowie Verträge und Finanzdaten gestohlen.
Sie geben außerdem an, Informationen zur Netzwerkstruktur, einschließlich Zugangsdaten, mithilfe des Open-Source-Tools ADRecon gesammelt zu haben, das große Mengen an Informationen aus Active-Directory-Umgebungen extrahieren kann.
„Wir haben eine Niederlassung in den USA eines der größten Automobilhersteller der Welt (TOYOTA) gehackt. Wir freuen uns sehr, die Dateien hier kostenlos mit Ihnen zu teilen. Die Datenmenge: 240 GB“, erklärt der Angreifer.
„Inhalt: Alles wie Kontakte, Finanzen, Kunden, Schemen, Mitarbeiter, Fotos, Datenbanken, Netzwerkstruktur, E-Mails und eine Menge perfekter Daten. Wir bieten Ihnen auch AD-Recon für das gesamte Zielnetzwerk mit Passwörtern.“
Obwohl Toyota das Datum des Vorfalls nicht mitgeteilt hat, fand BleepingComputer heraus, dass die Dateien am 25. Dezember 2022 gestohlen oder zumindest erstellt wurden. Dies könnte darauf hindeuten, dass der Angreifer Zugriff auf einen Backup-Server hatte, auf dem die Daten gespeichert waren.
Bereits im vergangenen Jahr hatte die Toyota-Tochter Toyota Financial Services (TFS) im Dezember ihre Kunden darüber informiert, dass ihre sensiblen persönlichen und finanziellen Daten bei einem Datendiebstahl durch einen Medusa-Ransomware-Angriff offengelegt wurden. Dieser Angriff betraf die europäischen und afrikanischen Abteilungen des japanischen Automobilherstellers im November.
Monate zuvor, im Mai, enthüllte Toyota ein weiteres Datenleck, bei dem die Fahrzeugstandortdaten von 2.150.000 Kunden über einen Zeitraum von zehn Jahren, vom 6. November 2013 bis zum 17. April 2023, aufgrund einer Fehlkonfiguration einer Datenbank in der Cloud-Umgebung des Unternehmens offengelegt wurden.
Wenige Wochen später entdeckte Toyota zwei weitere fehlkonfigurierte Cloud-Dienste, die die persönlichen Daten von Toyota-Kunden über einen Zeitraum von mehr als sieben Jahren preisgegeben hatten.
Nach diesen beiden Vorfällen erklärte Toyota, dass es ein automatisiertes System zur Überwachung von Cloud-Konfigurationen und Datenbankeinstellungen in allen seinen Umgebungen implementiert habe, um solche Lecks in Zukunft zu verhindern.
Bereits 2019 wurden mehrere Verkaufsniederlassungen von Toyota und Lexus kompromittiert, als Angreifer bis zu 3,1 Millionen Datensätze mit Kundeninformationen stahlen und veröffentlichten.