Toyota confirmó que su red fue vulnerada después de que un actor de amenazas filtrara un archivo de 240 GB de datos robados de los sistemas de la empresa en un foro de piratería.
“Estamos al tanto de la situación. El problema tiene un alcance limitado y no es un problema de todo el sistema”, dijo Toyota a BleepingComputer cuando se le pidió que validara las afirmaciones del actor de amenazas.
La empresa añadió que está “en contacto con los afectados y proporcionará asistencia si es necesario”, pero aún no ha proporcionado información sobre cuándo descubrió la vulneración, cómo obtuvo acceso el atacante y cuántas personas vieron expuestos sus datos en el incidente.
ZeroSevenGroup (el actor de amenazas que filtró los datos robados) dice que vulneraron una sucursal de EE. UU. y pudieron robar 240 GB de archivos con información sobre empleados y clientes de Toyota, así como contratos e información financiera.
También afirman haber recopilado información de la infraestructura de red, incluidas las credenciales, utilizando la herramienta de código abierto ADRecon que ayuda a extraer grandes cantidades de información de los entornos de Active Directory.
“Hemos pirateado una sucursal en Estados Unidos de uno de los mayores fabricantes de automóviles del mundo (TOYOTA). Estamos muy contentos de compartir los archivos con usted aquí de forma gratuita. El tamaño de los datos: 240 GB”, afirma el actor de amenazas.
“Contenido: Todo como contactos, finanzas, clientes, esquemas, empleados, fotos, bases de datos, infraestructura de red, correos electrónicos y una gran cantidad de datos perfectos. También le ofrecemos AD-Recon para toda la red de destino con contraseñas”.
Si bien Toyota no ha compartido la fecha de la filtración, BleepingComputer descubrió que los archivos habían sido robados o al menos creados el 25 de diciembre de 2022. Esta fecha podría indicar que el actor de la amenaza obtuvo acceso a un servidor de respaldo donde se almacenaban los datos.
El año pasado, la subsidiaria de Toyota, Toyota Financial Services (TFS), advirtió a los clientes en diciembre que sus datos personales y financieros confidenciales quedaron expuestos en una filtración de datos resultante de un ataque de ransomware Medusa que afectó a las divisiones europea y africana del fabricante de automóviles japonés en noviembre.
Meses antes, en mayo, Toyota reveló otra filtración de datos y reveló que la información de ubicación de los automóviles de 2.150.000 clientes estuvo expuesta durante diez años, entre el 6 de noviembre de 2013 y el 17 de abril de 2023, debido a una mala configuración de la base de datos en el entorno de nube de la empresa.
Semanas después, encontró otros dos servicios en la nube mal configurados que filtraron información personal de los clientes de Toyota durante más de siete años.
Tras estos dos incidentes, Toyota afirmó que implementó un sistema automatizado para monitorear las configuraciones de la nube y las configuraciones de la base de datos en todos sus entornos para evitar este tipo de filtraciones en el futuro.
Info – Ciberseguridad Latam