Hyundai-Indiaで大規模情報漏洩が発生

Hyundaiのインド法人で大規模な情報漏洩事案が発生した模様です。
TechCrunchの調査で明らかになりましたが、修理/点検に出した際の顧客とサービス事業者とのやり取りを通じて顧客情報/車両情報が他社が閲覧できる状況にあったと。
既にバグは修正されましたが、ツナガル車の脆弱性とOEMの責任範囲について考えるきっかけになります

Hyundai Motor India fixes bug that exposed customers' personal data

1;Hyundaiのインド子会社で情報漏洩が発生

　Hyundai-Indiaの認定サービスステーションでの整備/修理に関する遣り取りで情報漏洩が発生。
　受取後に顧客とWhatsAppで共有したWeb-Linkを通じて顧客の個人情報が流出。対象となる情報は[登録所有者名/郵送先住所/メールアドレス/電話番号など]で、一部では[登録番号/車両色/エンジン番号/走行距離などの車両情報]も漏洩…
　専門家によると悪意のある第三者がリンク内の電話番号を変更すると他顧客情報の漏洩が起こる状態にあったとのこと。
　本件はTechCrunchの調査で明らかになったもので、昨年12/29にメールにて情報通知していた。その後、1/4にHyundaiから返答があり、1/11にはバグ解消の報告があったとのこと

2;Hyundaiの対応

　Hyundai-Indiaはバグ解消及びリリースの発出を行い、下記コメント
　-[当社は顧客データ保護の重要性を理解しており、対応する堅牢なシステム/プロセスの構築に努めており、システム/プロセスは定期的に見直され、ニーズに基づいて更新されている]
　-[今回のWebリンクは、顧客が更新受信をオプトインすると、顧客が登録した携帯電話番号でのみ共有される。これらは、人間の介入なしにシステムで生成されたリンクである]
　
　今回の件で顧客記録への不正アクセス判断へのログ解析などを行ったかは不明、悪意ある人物による悪用についても明らかにしていない…

3;その他

　Hyundai-Indiaは1996年に設立、Multi-Suzuki/Tataと並ぶインドトップ3の一角を占める。現時点で国内に1,500以上にサービスステーションのNWを保有
　23/05にはEVの拡充/強化に向けてインド南部のタミルナドゥ州に今後10年間で24.5億ドルを投資すると発表している。