Toyota accidentalmente filtró datos confidenciales

Toyota Italia filtró accidentalmente datos confidenciales durante más de un año y medio, hasta marzo de este año, informó CyberNews.

Una empresa japonesa expuso accidentalmente sus herramientas de marketing, lo que permitió a los atacantes lanzar campañas de phishing contra sus clientes en Italia. La exposición accidental de herramientas de marketing por parte de la empresa facilitó el acceso a información confidencial de los clientes.

Toyota Italia filtró accidentalmente datos confidenciales durante más de un año y medio, hasta este mes de marzo.  Los actores de amenazas podrían abusar de esta información para obtener acceso a los números de teléfono y direcciones de correo electrónico de los clientes de Toyota y abusar de ellos para lanzar ataques de phishing.

La compañía dijo que tomó medidas adicionales para fortalecer sus sistemas y protocolos de ciberseguridad.

De acuerdo con Cybernews, la empresa expuso sus credenciales de acceso a Salesforce Marketing Cloud, proveedor de servicios de automatización y análisis de marketing digital. Esto permitiría a los atacantes acceder a información valiosa, incluyendo números de teléfono, direcciones de correo electrónico, seguimiento de clientes y contenido de comunicaciones electrónicas.

Estas credenciales podrían explotarse aún más para enviar mensajes SMS y correos electrónicos falsos, editar y lanzar campañas de marketing, crear scripts de automatización, editar contenido vinculado con Salesforce Marketing Cloud e incluso enviar notificaciones automáticas a los clientes de Toyota.

“Esta filtración es significativa, ya que podría haberse utilizado para lanzar campañas de phishing algo sofisticadas, ya que los atacantes habrían tenido acceso y control sobre los canales de comunicación oficiales de Toyota, lo que haría más probable que las víctimas cayesen en tal ataque, ya que la información del remitente sería ser legítimo”, dijeron los investigadores de Cybernews.

La respuesta de Toyota

Inmediatamente después de que Cybernews informara a la empresa sobre la vulnerabilidad, tomó todas las medidas necesarias para remediar la situación que, según Toyota, fue causada por el incumplimiento de las políticas de seguridad de datos de la empresa.

“Se ha implementado un conjunto adicional de contramedidas para restaurar y fortalecer nuestros sistemas y protocolos de ciberseguridad. Hemos informado este riesgo de exposición de datos de privacidad a las autoridades italianas pertinentes y estamos cooperando plenamente con la investigación en curso”, dijo Toyota.

“Toyota toma este caso, y la seguridad cibernética en general, muy en serio. Estamos aprovechando esta oportunidad para aprender de los hallazgos para mejorar aún más la solidez de nuestros sistemas y protocolos de ciberseguridad para evitar la recurrencia de incidentes similares”.

Fuente: Cybernews, Security affairs