Zveare เข้าถึงชื่อลูกค้า ที่อยู่ หมายเลขโทรศัพท์ ที่อยู่อีเมล และหมายเลขประจำตัวผู้เสียภาษี ตลอดจนยานพาหนะ บริการ และประวัติการเป็นเจ้าของสำหรับลูกค้าโตโยต้าที่ไม่ทราบจำนวนในเม็กซิโก เขาข้ามหน้าจอเข้าสู่ระบบของบริษัทผู้ผลิตรถยนต์และแก้ไขสภาพแวดล้อมการพัฒนาแอปพลิเคชัน นั่นคือจุดที่การทดสอบฟังก์ชันของแอปพลิเคชันเกิดขึ้นก่อนที่จะเผยแพร่

โตโยต้าบอก ข่าวยานยนต์ ในอีเมลว่า “ให้ความสำคัญกับภัยคุกคามทางไซเบอร์อย่างจริงจัง” และ “แก้ไขช่องโหว่ที่รายงานโดยทันที”

ผู้ผลิตรถยนต์รายนี้กล่าวว่าไม่มีหลักฐานว่ามีการเข้าถึงระบบของโตโยต้าโดยมุ่งร้าย และชื่นชมการวิจัยที่ดำเนินการโดย Zveare เชิญแฮ็กเกอร์รายอื่นมาเป็นพันธมิตรโดยไปที่โปรแกรมเปิดเผยช่องโหว่ด้านความปลอดภัยที่ HackerOne

แอปพลิเคชัน C360 ของ Toyota รวบรวมข้อมูลเกี่ยวกับลูกค้าจากทั่วทั้งบริษัท ในมุมมองเดียว พนักงานสามารถดูชื่อของลูกค้า ที่อยู่ ข้อมูลติดต่อ เพศ และการโต้ตอบกับบริษัท ข้อมูลนี้รวมถึงประวัติการซื้อ การเรียกเก็บเงิน ปัญหาการบริการ สถานะทางสังคม และการตั้งค่าช่อง

ธุรกิจต่างๆ สามารถใช้ข้อมูลนี้เพื่อแจ้งกลยุทธ์การมีส่วนร่วม ขั้นตอนการเดินทางของลูกค้า การสื่อสาร ข้อเสนอส่วนบุคคลและการส่งมอบ Zveare เขียนในบล็อกโพสต์สรุปการแฮ็ก

ช่องโหว่ดังกล่าวถูกครอบตัดในส่วนติดต่อโปรแกรมแอปพลิเคชัน ซึ่งเป็นโค้ดซอฟต์แวร์ชิ้นหนึ่งที่เชื่อมต่อกับเว็บเซิร์ฟเวอร์ API อนุญาตให้แอปพลิเคชันบนเว็บและออบเจ็กต์ที่เชื่อมต่ออินเทอร์เน็ตซึ่งใช้งานซอฟต์แวร์ที่แตกต่างกันเพื่อสื่อสารระหว่างกันและแลกเปลี่ยนข้อมูลเพื่อให้ทำงานได้อย่างมีประสิทธิภาพ เมื่อ API ของเซิร์ฟเวอร์หนึ่งสื่อสารกับเซิร์ฟเวอร์อื่น จุดสิ้นสุดของ API จะระบุว่า API อื่นสามารถเข้าถึงข้อมูลได้จากที่ใด จุดสิ้นสุดสามารถรวม URL ของเซิร์ฟเวอร์หรือบริการ

Zveare กล่าวว่า “Toyota เชื่อว่าจะไม่มีใครพบจุดสิ้นสุด API การผลิตเนื่องจากแอปที่ใช้งานจริงถูกล็อค แต่ดูเหมือนว่านักพัฒนาของพวกเขาจะรวมไว้ในแอป dev” Zveare กล่าว “ไม่มีอะไรผิดที่จะปรับปรุงประสบการณ์การโหลดแอพ” แต่ในกรณีนี้ มันสร้างช่องโหว่ด้านความปลอดภัย

นักพัฒนาแอปพลิเคชันของ Toyota น่าจะทำสิ่งนี้เพื่อให้แอปพลิเคชันโหลดเร็วขึ้น Zveare กล่าว

ข้อมูลลูกค้าของโตโยต้าถูกเปิดเผยเนื่องจากการตั้งค่าของแอปพลิเคชันไม่จำเป็นต้องตรวจสอบความถูกต้องเช่นกัน

“Toyota แก้ไขปัญหาด้วยการทำให้บางไซต์ออฟไลน์และอัปเดต API เพื่อต้องใช้โทเค็นการตรวจสอบสิทธิ์” Zveare กล่าว “โดยทั่วไป 1 วันหลังจากที่ฉันรายงานปัญหาไปยัง Toyota พวกเขาปิดเว็บไซต์ทั้งหมดแบบออฟไลน์ ฉันประทับใจที่พวกเขาตอบกลับอย่างรวดเร็ว”

โตโยต้าน่าจะใช้เวลาอีก 2-3 สัปดาห์ข้างหน้าในการปรับปรุงความปลอดภัยที่จำเป็นและทำให้มั่นใจว่าไม่มีใครเข้าถึงข้อมูลของลูกค้าโดยเจตนา Zveare กล่าว

โตโยต้าไม่ได้ออกคำแนะนำเกี่ยวกับการละเมิดเนื่องจากไม่น่าจะพบการเข้าถึงที่เป็นอันตราย Zveare กล่าว

ในการแฮ็กแยกในเดือนพฤศจิกายน Zveare ละเมิดแอปพลิเคชันที่พนักงานและซัพพลายเออร์ของ Toyota ใช้ ไม่มีข้อมูลลูกค้าถูกเปิดเผยในการแฮ็ก แต่การเข้าถึงแบบอ่านและเขียนไปยังบัญชีอีเมลขององค์กร 14,000 บัญชี เอกสารลับที่เกี่ยวข้อง โครงการ การจัดอันดับซัพพลายเออร์ ความคิดเห็น และข้อมูลอื่นๆ สามารถเข้าถึงได้