240 GB di dati rubati, server di backup probabilmente compromessi: sono queste le conseguenze di un data breach ai danni della casa automobilistica Toyota, ammesso dall’azienda stessa dopo che gli attaccanti hanno pubblicato un annuncio su un forum del cybercrime.

Autore dell’annuncio è un threat actor noto come ZeroSevenGroup, che nel sopraccitato forum sottolinea di essere entrato in possesso di informazioni su dipendenti e clienti Toyota, nonché contratti, dati finanziari, foto, database, email, informazioni sull'infrastruttura di rete, comprese le credenziali ottenute mediante l’esfiltrazione di dati da Active Directory mediante lo strumento open source ADRecon. "Abbiamo violato una filiale negli Stati Uniti di uno dei più grandi produttori automobilistici del mondo (TOYOTA). Siamo felici di condividere i file con voi gratuitamente”.

Immagine: Bleeping Computer

L’azienda ha diffuso una nota in cui ammette di essere consapevole “della situazione. Il problema è di portata limitata e non riguarda l’intero sistema", aggiungendo che Toyota sta assistendo "chi è stato colpito e fornirà assistenza se necessario", ma non ha fornito informazioni sulla data della violazione e le modalità di attacco. Il sito tedesco Heise ha ottenuto la notifica di data breach inviata da Toyota ai clienti tedeschi, in cui è riportato che gli attaccanti hanno ottenuto l'accesso a nomi completi, indirizzi di residenza, informazioni di contatto, dettagli di leasing e IBAN.

La testata statunitense Bleeping Computer riporta di avere scoperto che i file sono stati rubati o quantomeno creati il 25 dicembre 2022. La data potrebbe indicare che l’attacco è avvenuto molto tempo fa o che gli attaccanti hanno ottenuto l'accesso a un server di backup in cui tali dati erano archiviati.

Quello che è certo è che Toyota non è nuova a queste spiacevoli esperienze. Nel 2019 furono violate diverse filiali di vendita di Toyota e Lexus, con il data breach di qualcosa come 3,1 milioni di informazioni sui clienti. Lo scorso anno Toyota Financial Services subì un attacco dal gruppo ransomware Medusa con esposizione di dati.