泄露用户信息长达一年半，丰田被服务商坑惨了

全球知名汽车制造公司丰田（TOYOTA）遭遇了严重的用户信息泄露事件。安全研究人员发现，黑客通过攻击丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud，从而获得了海量的用户数据，且至今为止数据泄露已有一年半之久。

此外，丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌，导致敏感数据泄露范围增大。攻击者可能会借此获取丰田意大利用户的手机号码和电子邮箱等，并利用这些信息发起网络钓鱼攻击。

好消息是，截止到发稿时，丰田意大利已经将这些数据再次保护起来，该公司也表示，已经和第三方网络安全公司合作，采取了额外的措施加强其网络安全系统和协议。

公开信息显示，丰田是全球最大的汽车制造商之一，拥有超过37W名员工，去年收入约为2670亿美元。仅在欧洲，丰田的雇员就超过了2.5W名，共有八家汽车制造工厂。

目前虽然不清楚丰田意大利的官方数据，但是该公司已经在意大利屹立半个多世纪了，妥妥的老牌企业。根据 Statista 的数据，丰田意大利公司的收入预计到 2023 年将达到约18亿美元，汽车销量预计将接近8.3w辆。

偶然发现数据被公开

2023年2月14日，Cybernews的安全研究团队在丰田意大利官方网站上发现了一个环境文件(.env)。而该环境文件于2021 年 5 月 21 日首次被物联网 (IoT) 搜索引擎编入索引，这意味着很多人都可以进行公开访问。

根据 Cybernews 研究团队的说法，该环境文件泄露的原因是，丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud公开了用户账户凭证访问权限。黑客获取了Salesforce Marketing Cloud公司的权限，并借此访问丰田意大利用户的账户凭证。

通过账户凭证，攻击者顺势访问到了用户的电话号码、电子邮件地址、客户跟踪信息、短信和推送通知内容。同时这些凭据可以进一步被用来发送虚假的SMS消息、电子邮件、编辑&启动营销活动、创建自动化脚本、编辑与 Salesforce 营销云相关的内容，甚至向丰田的客户发送推送通知。

Cybernews 安全研究人员称，此次敏感数据泄露事件对于丰田意大利来说十分严重，这些信息完全可以被用来发起一些复杂的网络钓鱼攻击，攻击者可以访问和控制丰田的官方通信渠道，从而使受害者更容易落入此类钓鱼攻击中，因为发件人的信息是被冒充的丰田意大利官方。

此外，丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌。虽然这部分数据不像 Salesforce Marketing Cloud 账号凭证那么敏感，但是攻击者可能会滥用它来查询大量请求并增加丰田 API 使用的成本。