Toyota confirmó que su red fue pirateada después de que un actor malicioso filtró un archivo de 240 GB de datos robados de los sistemas de la compañía en un foro de piratería.
“Somos conscientes de la situación. El problema tiene un alcance limitado y no afecta a todo el sistema”, dijo Toyota a BleepingComputer cuando se le pidió que validara las afirmaciones del actor de la amenaza.
La compañía agregó que estaba “en contacto con los afectados y brindará asistencia si es necesario”, pero aún no ha proporcionado información sobre cuándo descubrió la violación, cómo el atacante obtuvo acceso y la cantidad de personas cuyos datos quedaron expuestos durante el incidente. .
ZeroSevenGroup (el actor malicioso que filtró los datos robados) afirma haber pirateado una sucursal de EE. UU. y pudo robar 240 GB de archivos que contenían información de empleados y clientes de Toyota, así como contratos e información financiera.
También afirman haber recopilado información de infraestructura de red, incluidas credenciales, utilizando la herramienta de código abierto ADRecon, que puede extraer grandes cantidades de información de entornos Active Directory.
“Hackeamos una sucursal estadounidense de uno de los mayores fabricantes de automóviles del mundo (TOYOTA). Estamos muy felices de compartir los archivos con usted aquí de forma gratuita. Tamaño de los datos: 240 GB”, afirma el atacante.
“Contenido: como contactos, finanzas, clientes, esquemas, empleados, fotografías, bases de datos, infraestructura de red, correos electrónicos y muchos datos perfectos. También le ofrecemos AD-Recon para toda la red de destino con contraseñas.”
Aunque Toyota no reveló la fecha de la violación, BleepingComputer descubrió que los archivos fueron robados o al menos creados el 25 de diciembre de 2022. Esta fecha podría indicar que el actor de amenazas obtuvo acceso a un servidor de respaldo donde se almacenaban los datos.
El año pasado, la filial de Toyota, Toyota Financial Services (TFS), advirtió a sus clientes en diciembre que sus datos personales y financieros confidenciales habían quedado expuestos en una violación de datos resultante de un ataque de ransomware Medusa que afectó a las divisiones europeas y africanas del fabricante de automóviles japonés en noviembre.
Unos meses antes, en mayo, Toyota reveló otra filtración de datos y reveló que la información de ubicación de los automóviles de 2.150.000 clientes estuvo expuesta durante diez años, entre el 6 de noviembre de 2013 y el 17 de abril de 2023, debido a una mala configuración de la base de datos en el entorno de nube de la empresa.
Semanas más tarde, la compañía descubrió otros dos servicios en la nube mal configurados que habían estado filtrando información personal de los clientes de Toyota durante más de siete años.
Después de estos dos incidentes, Toyota dijo que implementó un sistema automatizado para monitorear las configuraciones de la nube y las bases de datos en todos sus entornos para evitar este tipo de filtraciones en el futuro.
Varias filiales de ventas de Toyota y Lexus también fueron pirateadas en 2019 cuando los atacantes robaron y filtraron lo que la compañía describió en ese momento como “hasta 3,1 millones de datos de clientes”.