日本汽车巨头丰田公司警告说，在一个访问密钥在GitHub上公开近五年后，近30万名客户的个人数据可能被泄露。

丰田在其网站上的一份声明中说，自2017年7月以来，使用过T-Connect（一种通过网络连接车辆的远程信息服务）的296019人的电子邮件地址和客户控制号码被曝光。

该公司补充说，虽然在对数据服务器的访问历史进行分析后，没有证据表明这些数据被第三方访问，但 "不能完全排除这种可能性"。

这家汽车制造商向客户保证，"姓名、电话号码、信用卡和其他信息，如'T-Connect'服务本身，不存在泄漏的可能性"。此外，雷克萨斯汽车的'G-Link/G-Link Lite'和'MyTOYOTA/My TOYOTA+'应用程序的用户数据没有受到影响，因为这是在一个单独的地方存储的。

泄漏的原因是T-Connect网站的部分源代码被一个网站开发承包商错误地上传到GitHub，从2017年12月到2022年9月15日，在该网站上停留了近五年时间。这段源代码包含了T-Connect数据服务器的访问密钥，可以访问用户的电子邮件地址和客户控制号码。

丰田公司表示，发现后立即采取行动，将源代码保密。"9月17日，我们采取了改变数据服务器的访问密钥等措施，目前还没有确认有二次损害。"

该公司警告受影响的客户对可能因泄漏而产生的潜在钓鱼邮件保持警惕。它建议他们不要打开任何不认识发件人的邮件，并 "在访问邮件中描述的URL地址时要小心"。

丰田公司的公告是在最近发生的一些源代码被盗案件之后发布的，这些案件使受影响的组织面临重大安全风险。其中包括科技巨头英特尔，密码管理公司LastPass和游戏开发商Rockstar Games。

Barrier Networks公司的管理CISO Jordan Schroeder在评论这一事件时说。"这些类型的安全开发错误今天困扰着企业，在攻击者发现错误并破坏系统和数据后，付出代价的是他们的客户。

"企业必须在源代码控制和秘密管理方面做得更好，比如访问密钥，因为这些数据很有可能已经被攻击者访问，而丰田可能永远不会知道。"

2022年3月，在一家关键供应商遭到勒索软件攻击后，丰田公司被迫停止了其在日本的所有工厂的生产。