ハッカーがトヨタの顧客検索ツールをクラック【2023年3月12日配信】

ITセキュリティニュース

/目次/
ハッカーがトヨタの顧客検索ツールをクラック

━━━━━━━━━━━━━━━━━━━━━━━
■ハッカーがトヨタの顧客検索ツールをクラック
━━━━━━━━━━━━━━━━━━━━━━━

DARK Readingの記事によるとトヨタの顧客管理システム(CRM)のAPIの認証機能に問題があり、メキシコのトヨタの顧客データが検索可能な状態だったようです。
現在、この問題は修正されており、この問題による情報流出もないようです。

Hacker Cracks Toyota Customer Search Tool (darkreading.com)

【所感】
2023年2月12日配信のnoteで紹介した同じくトヨタ自動車のサプライヤーポータルに脆弱性に類似した問題だと感じました。
OWASP Top10第1位のアクセス制御の不備に起因する脆弱性です。サーバーサイドのWebアプリケーションと比較し、サーバーサイドのWebAPIやクライアントサイドのアプリケーションは各種脆弱性が混入しやすい傾向があるように感じました。