Fordonsdata för över två miljoner Toyota-kunder läckte ut från molntjänst

Permalänk
Medlem

Fordonsdata för över två miljoner Toyota-kunder läckte ut från molntjänst

IT-säkerhet är en parameter att väga in när man väljer biltillverkare i framtiden.

Saxade rubrik från IDG.

https://computersweden.idg.se/2.2683/1.779046/fordonsdata-for...

Permalänk
Keeper of the Bamse

"Det finns dock inga rapporter om att uppgifterna missbrukats, uppger företaget"

Nä, men folk som missbrukar uppgifterna lär ju inte rapportera in det. Ligger det publikt lär dom inte heller ha på särskilt avancerad auditing för vilka som har kommit åt grejerna.

Så vad har läckt? Chassinummer och försäljningsland? Inget man dör av, men tråkigt att det brister i säkerheten.

Visa signatur

i7 10770K, NH-D15. 16GB corsair. RTX 3080. 3TB nvme. Samsung G9. Fractal Torrent Compact. Corsair RM850.
Logitech G pro wireless mouse. Logitech TKL915 wireless. Logitech Pro X Wireless.
Macbook pro M1 (16GB, 512GB). HP Reverb G2.
www.bamseclockers.com

Permalänk
Medlem
Skrivet av Printscreen:

"Det finns dock inga rapporter om att uppgifterna missbrukats, uppger företaget"

Nä, men folk som missbrukar uppgifterna lär ju inte rapportera in det. Ligger det publikt lär dom inte heller ha på särskilt avancerad auditing för vilka som har kommit åt grejerna.

Så vad har läckt? Chassinummer och försäljningsland? Inget man dör av, men tråkigt att det brister i säkerheten.

Lokalisering.
Dvs - Positionsdata för samtliga fordon.

Det kan man ju ändå tycka är en rätt grov integritetskränkning...

Visa signatur

Krusidullen är stulen

Permalänk
Medlem

Hoppas att IT och informationssäkerhetskunskapen ökar hos konsumenter.
Just nu så tror jag att det inte är många som tar med det i kalkylen när man använder tjänster.
I vissa fall har man inte något val, som t.ex. vid ett bilköp. Väljer du bort en tjänst så tappar du hälften av funktionerna du köpte bilen för.

Får hoppas att det kommer krav från högre ort (t.ex. EU) så att tillverkare skärper sig.
Borde finnas en "svarta listan" för bolag som återkommande brister när det gäller att skydda kunder.

Permalänk
Keeper of the Bamse
Skrivet av SuperSverker:

Lokalisering.
Dvs - Positionsdata för samtliga fordon.

Det kan man ju ändå tycka är en rätt grov integritetskränkning...

Var kan man läsa att det är positionsdata för samtliga fordon? Jag tror att lokalisering kan betyda mer än en sak

Visa signatur

i7 10770K, NH-D15. 16GB corsair. RTX 3080. 3TB nvme. Samsung G9. Fractal Torrent Compact. Corsair RM850.
Logitech G pro wireless mouse. Logitech TKL915 wireless. Logitech Pro X Wireless.
Macbook pro M1 (16GB, 512GB). HP Reverb G2.
www.bamseclockers.com

Permalänk
Medlem
Skrivet av Printscreen:

Var kan man läsa att det är positionsdata för samtliga fordon? Jag tror att lokalisering kan betyda mer än en sak

Det kan nog betyda mkt som du säger, men bleeping computers artikel är lite tydligare

The information exposed in the misconfigured database includes:

the in-vehicle GPS navigation terminal ID number,
the chassis number, and
vehicle location information with time data.

https://www.bleepingcomputer.com/news/security/toyota-car-loc...

Permalänk
Keeper of the Bamse
Skrivet av reverend benny:

Det kan nog betyda mkt som du säger, men bleeping computers artikel är lite tydligare

The information exposed in the misconfigured database includes:

the in-vehicle GPS navigation terminal ID number,
the chassis number, and
vehicle location information with time data.

https://www.bleepingcomputer.com/news/security/toyota-car-loc...

Tack, då blev det ju genast lite värre

Värt att notera:
"It is important to note that the exposed details do not constitute personally identifiable information, so it wouldn't be possible to use this data leak to track individuals unless the attacker knew the VIN (vehicle identification number) of their target's car."

Så om man har ovänner och kör en toyota kan dom mao kartlägga en lite, om ovännerna har fysisk tillgång till ens vindruta och kan läsa av chassinummer. Riktigt riktigt klantigt

Visa signatur

i7 10770K, NH-D15. 16GB corsair. RTX 3080. 3TB nvme. Samsung G9. Fractal Torrent Compact. Corsair RM850.
Logitech G pro wireless mouse. Logitech TKL915 wireless. Logitech Pro X Wireless.
Macbook pro M1 (16GB, 512GB). HP Reverb G2.
www.bamseclockers.com

Permalänk
Medlem
Skrivet av Printscreen:

Var kan man läsa att det är positionsdata för samtliga fordon? Jag tror att lokalisering kan betyda mer än en sak

Lokalisering i MyT innebär positionen av ditt fordon.

Det är väl ändå extremt sällan lokalisering hos nyheter innebär tangentbordslayout och datumuppbyggnad.

https://www.infosecurity-magazine.com/news/toyota-admits-deca...

Citat:

While no reports of issues resulting from the breach have surfaced, the compromised data includes vehicle identification numbers, location history and video footage captured by the vehicle’s drive recorder.

@Printscreen - Perfekt att VIN går att plocka utan problem i Sverige och därmed kopplas till individer (genom samma tjänst)

Det hade tagit en halvkass student 4 timmar att skapa en applikation som knyter den datan till individer i alla fall i Sverige (Genom vår fantastiska tranaportstyrelse)

Visa signatur

Krusidullen är stulen

Permalänk
Medlem

Detta är ytterst komiskt då Toyota relativt nyligen blivit auditerade på UN Regulation 155 som berör just cybersäkerhet…

https://unece.org/transport/documents/2021/03/standards/un-re...

Visa signatur

data, representation av värden, text etc. lämpad för överföring, tolkning eller bearbetning av människor eller maskiner.
dator, digital automatisk beräkningsmaskin som styrs av ett i dess minne lagrat program.

Permalänk
Skrivet av Printscreen:

Tack, då blev det ju genast lite värre

Värt att notera:
"It is important to note that the exposed details do not constitute personally identifiable information, so it wouldn't be possible to use this data leak to track individuals unless the attacker knew the VIN (vehicle identification number) of their target's car."

Så om man har ovänner och kör en toyota kan dom mao kartlägga en lite, om ovännerna har fysisk tillgång till ens vindruta och kan läsa av chassinummer. Riktigt riktigt klantigt

Du behöver inte läsa vin nummer i vindrutan, de är uppgifter som finns på nätet om samtliga bilar och på vilken adress de är registrerade. Så det tar typ 20sek att få fram den informationen.

Visa signatur

Legion 5 Pro" Ryzen 5800H / 32GB ram / 2TB+1TB nvme / RTX 3070 8GB 140w

Permalänk
Medlem

Kan se scenerna framför mig från filmerna fast and furious 8 och bloodshot där de hackar bilarna. Så skulle inte förvåna mig om vi är snart är där som Tesla etc som börjat med att live uppdatera bilarnas mjukvara tillsamman med såna här tabbar.

Visa signatur

AMD Ryzen 3900X, Gigabyte X570 AORUS ELITE,
G.Skill Flare X 32GB 3200MHz, FOCUS GX 850W, SSD 125 och 500GB, HDD 2tb, Gainward GeForce RTX 4090 Phantom
Laptops:MSI GT73VR 6RE Titan

Permalänk
Medlem

Jag myser åt vetskapen att jag aldrig kommer ha en nyare bil än den jag har idag, även min -09 VW har på tok för mycket elektroniskt tingel-tangel i sig för att jag skall känna mig bekväm egentligen....

Av ren nyfikenhet, vad är det för funktioner och "tjänster" i nyare bilar som kräver uppkoppling mot tillverkaren för att fungera?

Visa signatur

1f u c4n r34d th1s u r34lly n33d t0 g37 l41d

Permalänk
Medlem

Mer o mer sånt här.

Ojdå hoppsan, vi råkade läcka er data..
I tio år.

Visa signatur

Don´t do this, don´t do that. Do this and think that.
Serious, do you really think I give a shit?

Permalänk
Medlem
Skrivet av reverend benny:

Hoppas att IT och informationssäkerhetskunskapen ökar hos konsumenter.
Just nu så tror jag att det inte är många som tar med det i kalkylen när man använder tjänster.
I vissa fall har man inte något val, som t.ex. vid ett bilköp. Väljer du bort en tjänst så tappar du hälften av funktionerna du köpte bilen för.

Får hoppas att det kommer krav från högre ort (t.ex. EU) så att tillverkare skärper sig.
Borde finnas en "svarta listan" för bolag som återkommande brister när det gäller att skydda kunder.

Det som behövs är riktigt saftiga böter till företag som brister i sin utlovade säkerhet.

Visa signatur

Don´t do this, don´t do that. Do this and think that.
Serious, do you really think I give a shit?

Permalänk
Medlem
Skrivet av Strepto:

Detta är ytterst komiskt då Toyota relativt nyligen blivit auditerade på UN Regulation 155 som berör just cybersäkerhet…

https://unece.org/transport/documents/2021/03/standards/un-re...

Jag har själv suttit i möten med autitors som anställd på ett stort internationellt företag, och det är mest spel för gallerierna.

Permalänk
Medlem
Skrivet av ChristofferC:

Jag har själv suttit i möten med autitors som anställd på ett stort internationellt företag, och det är mest spel för gallerierna.

Samma här. Det är mest bs de där intrångsförsöken etc.

Visa signatur

Citera för svar

Permalänk
Medlem
Skrivet av Kasken:

Jag myser åt vetskapen att jag aldrig kommer ha en nyare bil än den jag har idag, även min -09 VW har på tok för mycket elektroniskt tingel-tangel i sig för att jag skall känna mig bekväm egentligen....

Av ren nyfikenhet, vad är det för funktioner och "tjänster" i nyare bilar som kräver uppkoppling mot tillverkaren för att fungera?

Troligtvis ladda hem GPS kartor, trafikinformation men många har ju även appar idag. Med apparna kan man låsa/öppna,sätta på eller schemalägga värme/kyla,se batterinivå och annat. Vissa tillverkare levererar även mjukvaruuppdateringar över nätet, behöver ej köra till auktoriserad verkstad. Troligtvis samlar tillverkarna in en hel del användardata också, vet aldrig när man behöver den. 🙃

Bilen fungerar antagligen utmärkt utan detta men det går inte att stänga av. Isåfall får man nog ta reda på var 4g modemet är och koppla ur det/slå sönder det. 😂 Eller så låter man bli att acceptera användarvillkoren och litar på att inget samlas in..

Visa signatur

Citera för svar

Permalänk
Medlem
Skrivet av Kasken:

Jag myser åt vetskapen att jag aldrig kommer ha en nyare bil än den jag har idag, även min -09 VW har på tok för mycket elektroniskt tingel-tangel i sig för att jag skall känna mig bekväm egentligen....

Av ren nyfikenhet, vad är det för funktioner och "tjänster" i nyare bilar som kräver uppkoppling mot tillverkaren för att fungera?

Enligt lag för tillfället är nödsamtal. Men förutom det är det mjukvaruuppdateringar likt Tesla för att uppdatera autopiloten, interface etc. Än så länge är Tesla ledande med Volvo hack i häl med resten av bilmärkena börjar också komma dit när deras elbilar börjar rulla ut på bred front.

BMW har experimentera något år nu med att man kan betala prenumeration för vissa saker i bilen så som ratt och stolvärmare.

Visa signatur

AMD Ryzen 3900X, Gigabyte X570 AORUS ELITE,
G.Skill Flare X 32GB 3200MHz, FOCUS GX 850W, SSD 125 och 500GB, HDD 2tb, Gainward GeForce RTX 4090 Phantom
Laptops:MSI GT73VR 6RE Titan

Permalänk
Medlem

Vilken kommandorörelse behövdes då? På Voice integrate fick man ju upp filer bara man surfa in.

Permalänk
Medlem
Skrivet av Baxtex:

Troligtvis ladda hem GPS kartor, trafikinformation men många har ju även appar idag. Med apparna kan man låsa/öppna,sätta på eller schemalägga värme/kyla,se batterinivå och annat. Vissa tillverkare levererar även mjukvaruuppdateringar över nätet, behöver ej köra till auktoriserad verkstad. Troligtvis samlar tillverkarna in en hel del användardata också, vet aldrig när man behöver den. 🙃

Bilen fungerar antagligen utmärkt utan detta men det går inte att stänga av. Isåfall får man nog ta reda på var 4g modemet är och koppla ur det/slå sönder det. 😂 Eller så låter man bli att acceptera användarvillkoren och litar på att inget samlas in..

problemet med att inaktivera 4G kan leda till att bilen går i felsäkert läge och låser sig totalt för att bärgas till närmaste auktoriserad verkstad för att bilen inte vet om det är något allvarligt fel eller att bilen blivit kapad/stulen. Man kan säkert programmera bort det i framtiden men risken finns att man samtidigt inaktiverar ecall som finns i nya bilar.

Visa signatur

AMD Ryzen 3900X, Gigabyte X570 AORUS ELITE,
G.Skill Flare X 32GB 3200MHz, FOCUS GX 850W, SSD 125 och 500GB, HDD 2tb, Gainward GeForce RTX 4090 Phantom
Laptops:MSI GT73VR 6RE Titan

Permalänk
Medlem
Skrivet av hellmix:

problemet med att inaktivera 4G kan leda till att bilen går i felsäkert läge och låser sig totalt för att bärgas till närmaste auktoriserad verkstad för att bilen inte vet om det är något allvarligt fel eller att bilen blivit kapad/stulen. Man kan säkert programmera bort det i framtiden men risken finns att man samtidigt inaktiverar ecall som finns i nya bilar.

Det där låter fullständigt vansinne för en äldre "bakåtsträvare" som mig...

Vad händer om det blir strömlöst i serverhallen som hanterar detta då? Stannar bil-fan då också?
Vad händer om man får för sig att "utforska" delar av världen där det inte finns mottagning?

Nä, det här är på väg käpprätt åt fel håll.
Tur att man inte har något behov av detta och att man klarar av att hantera verktyg o svets så att man håller sitt gamla skrot rullandes istället för att tvingas in i denna värld..
Jag stör mig idag på att min bil har regnsensor istället för vanlig normal ställbar intervall på torkarna.... Jag är rätt säker på att jag skulle skrika mig hes om jag försökte köra en modern bil.

Visa signatur

1f u c4n r34d th1s u r34lly n33d t0 g37 l41d

Permalänk
Medlem
Skrivet av hellmix:

Enligt lag för tillfället är nödsamtal. Men förutom det är det mjukvaruuppdateringar likt Tesla för att uppdatera autopiloten, interface etc. Än så länge är Tesla ledande med Volvo hack i häl med resten av bilmärkena börjar också komma dit när deras elbilar börjar rulla ut på bred front.

BMW har experimentera något år nu med att man kan betala prenumeration för vissa saker i bilen så som ratt och stolvärmare.

Ah just det. Alla moderna bilar kontaktar väl blåljus personal med GPS och sånt också idag vid en olycka
, superbra!

Skrivet av Kasken:

Det där låter fullständigt vansinne för en äldre "bakåtsträvare" som mig...

Vad händer om det blir strömlöst i serverhallen som hanterar detta då? Stannar bil-fan då också?
Vad händer om man får för sig att "utforska" delar av världen där det inte finns mottagning?

Nä, det här är på väg käpprätt åt fel håll.
Tur att man inte har något behov av detta och att man klarar av att hantera verktyg o svets så att man håller sitt gamla skrot rullandes istället för att tvingas in i denna värld..
Jag stör mig idag på att min bil har regnsensor istället för vanlig normal ställbar intervall på torkarna.... Jag är rätt säker på att jag skulle skrika mig hes om jag försökte köra en modern bil.

Ingen aning, troligtvis fungerar den. Ibland går vår inte att använda med appen om det är dålig täckning men bilen fungerar ändå.

Jag tycker vår nya elbil är bättre på alla sätt och vis jämfört med alla andra bilar jag haft tidigare. Bekvämare, enklare och betydligt roligare. 😇

Visa signatur

Citera för svar

Permalänk
Medlem
Skrivet av Baxtex:

Ah just det. Alla moderna bilar kontaktar väl blåljus personal med GPS och sånt också idag vid en olycka
, superbra!

Ingen aning, troligtvis fungerar den. Ibland går vår inte att använda med appen om det är dålig täckning men bilen fungerar ändå.

Jag tycker vår nya elbil är bättre på alla sätt och vis jämfört med alla andra bilar jag haft tidigare. Bekvämare, enklare och betydligt roligare. 😇

"ibland går inte vår att använda med appen" ? Vi pratar om ett motorfordon som man sitter i och kör i trafiken, ursäkta en dum fråga men på vilket sätt använder du någon form av "app" för att köra din bil?

Anser du att t.ex även inköpspriset, räckvidden och tiden det tar att tanka är bättre än på dina tidigare bilar?
Missta mig nu inte som någon enkel elbils-motståndare, det är inte själva framdrivningen i sig jag anser inte duger. Det är egentligen bara batteritekniken som skulle behöva någon form av revolution för att ens komma i närheten av att kunna matcha vissa styrkor som redan finns i bilar med förbränningsmotor.
Problematiken med att det inte ens i närheten produceras tillräckligt mycket el (varken i landet eller världen) för att driva alla bilar behöver vi ju inte gå i på här...

Visa signatur

1f u c4n r34d th1s u r34lly n33d t0 g37 l41d

Permalänk
Avstängd
Skrivet av Kasken:

Det där låter fullständigt vansinne för en äldre "bakåtsträvare" som mig...

Vad händer om det blir strömlöst i serverhallen som hanterar detta då? Stannar bil-fan då också?
Vad händer om man får för sig att "utforska" delar av världen där det inte finns mottagning?

Nä, det här är på väg käpprätt åt fel håll.
Tur att man inte har något behov av detta och att man klarar av att hantera verktyg o svets så att man håller sitt gamla skrot rullandes istället för att tvingas in i denna värld..
Jag stör mig idag på att min bil har regnsensor istället för vanlig normal ställbar intervall på torkarna.... Jag är rätt säker på att jag skulle skrika mig hes om jag försökte köra en modern bil.

Det du citerar gällde att "ta reda på var 4g modemet är och koppla ur det/slå sönder det". Då kommer bilen troligen att få fnatt då den saknar en enhet. Om du däremot hamnar utanför 4G nätet när du svänger fel på väg hem från jobbet en dag lär inte påverka bilen så.

Permalänk
Medlem

Det är främst därför jag inte använder mig av någon biltillverkares onlinetjänster, jag litar exakt 0 på deras säkerhetstänk.

Visa signatur

5950X, 3090

Permalänk
Medlem
Skrivet av jawik:

Det du citerar gällde att "ta reda på var 4g modemet är och koppla ur det/slå sönder det". Då kommer bilen troligen att få fnatt då den saknar en enhet. Om du däremot hamnar utanför 4G nätet när du svänger fel på väg hem från jobbet en dag lär inte påverka bilen så.

Då borde det gå att bara lokalisera antennen och slå in den aluminiumfolie då?

Ursäkta att dra ner det till denna nivå, men hela grejen blir ju otroligt skrattretande.

Visa signatur

1f u c4n r34d th1s u r34lly n33d t0 g37 l41d

Permalänk
Avstängd
Skrivet av Kasken:

Då borde det gå att bara lokalisera antennen och slå in den aluminiumfolie då?

Ursäkta att dra ner det till denna nivå, men hela grejen blir ju otroligt skrattretande.

Vad menar du? Om man tar bort en enhet som systemet förväntar sig ska finnas där utan att kompensera/terminera för det så kommer systemet att varna. Om sedan bilen går ner i limp-mode bara för modemet är väl mindre troligt, men att den inte skulle reagera alls är inte heller troligt.

Permalänk
Medlem
Skrivet av backfeed:

Det är främst därför jag inte använder mig av någon biltillverkares onlinetjänster, jag litar exakt 0 på deras säkerhetstänk.

Amen, bara att försegla sig med aluminiumfolie och vänta på att världen ska gå under! Skämt åsido, som artikeln är inne på, inte mycket någon hade kunnat göra med datan som läckt ut.. Men visst hade jag varit i någon form av beroendeställning alternativt flytt krig pga politiska orsaker eller liknande hade man väl kanske undvikit alternativt cyberkriminell, men som vanlig svensson vetjagfan varför man skulle vart orolig över att data läcker ut

Permalänk
Medlem

Funderar på att det är folks lathet och nyfikenhet på nytt som får biltillverkare att skapa moln så man kan styra sin bil på olika saker. Som vi har klarat oss utan tidigare.

Skulle jag ha en ny bil med möjlighet att fjärrstyra saker på den är det för mig nej tack vill inte ha saker på moln som andra kan komma åt på något vis.

Visa signatur

Låda thermaltake view 91 M-kort ASUS X399 ROG Zenith Extreme CPU AMD Ryzen Threadripper 1920X 3.5 GHz Kylning Hemma byggd vattenkylning 2 x 480mm + 1 x 420mm radiatorer Minne 8 X 16Gb DDR4 HD SSD 240GB OCZ Trion 100 Grafik Gigabyte Geforce RTX 3080 10GB GAMING OC WATERFORCE WB AGG Corsair RM 1000w 80+ Gold Skärm ASUS 43" ROG Strix XG438QR 4K VA HDR 120 Hz

Permalänk
Medlem
Skrivet av plajton:

Amen, bara att försegla sig med aluminiumfolie och vänta på att världen ska gå under! Skämt åsido, som artikeln är inne på, inte mycket någon hade kunnat göra med datan som läckt ut.. Men visst hade jag varit i någon form av beroendeställning alternativt flytt krig pga politiska orsaker eller liknande hade man väl kanske undvikit alternativt cyberkriminell, men som vanlig svensson vetjagfan varför man skulle vart orolig över att data läcker ut

Abort är olagligt i vissa länder som t.ex. USA. Data som samlats in av Facebook och Google har redan begärts ut av polisen i dessa länder. Folk från Sverige som är på arbetsresa eller semester i dessa länder skulle kunna bli drabbade av företag som läcker eller delar data med polis.

Visa signatur

“The dollar is our currency, but it's your problem.” -John Connally, President Nixon's Treasury Secretary to a group of European finance minsters
"Keep the Russians out, the Americans in, and the Germans down" -NATO Secretary General, Lord Ismay