近日，全球知名汽车制造公司丰田（TOYOTA）被曝遭遇了严重的用户信息泄露事件。

公开信息显示，丰田是全球最大的汽车制造商之一，拥有超过37W名员工，去年收入约为2670亿美元。仅在欧洲，丰田的雇员就超过了2.5W名，共有八家汽车制造工厂。

此次发生数据泄露事件的公司，就是欧洲市场的丰田意大利。据安全研究人员发现，黑客通过攻击丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud，从而获得了海量的用户数据，且至今为止数据泄露已有一年半之久。

此外，丰田意大利还泄露了软件公司 Mapbox 的应用程序编程接口 (API) 令牌，导致敏感数据泄露范围增大。丰田公司表示，当下尚不清楚攻击者具体访问了哪些数据，建议用户高度警惕网络钓鱼攻击，及时更换账号密码，以确保个人信息安全。

但好消息是，目前，丰田意大利已经将这些数据再次保护起来。而且，该公司表示，已经和第三方网络安全公司合作，采取了额外的措施加强其网络安全系统和协议。

事件简述

2023年2月14日，Cybernews的安全研究团队在丰田意大利官方网站上发现了一个环境文件(.env)。而该环境文件于2021 年 5 月 21 日首次被物联网 (IoT) 搜索引擎编入索引，这意味着很多人都可以进行公开访问。

根据 Cybernews 研究团队的说法，该环境文件泄露的原因是，丰田意大利数字营销自动化和分析软件服务提供商 Salesforce Marketing Cloud公开了用户账户凭证访问权限。黑客获取了Salesforce Marketing Cloud公司的权限，并借此访问丰田意大利用户的账户凭证。

通过账户凭证，攻击者顺势访问到了用户的电话号码、电子邮件地址、客户跟踪信息以及电子邮件、短信和推送通知内容。同时这些凭据可以进一步被用来发送虚假的SMS消息、电子邮件、编辑&启动营销活动、创建自动化脚本、编辑与 Salesforce 营销云相关的内容，甚至向丰田的客户发送推送通知。

事实上，这不是丰田第一次发生大规模数据泄露事件了，而且，近两年的数据泄漏事件也与其第三方服务商有关。可见，丰田被第三方服务商坑得有多惨。

2022年，丰田公司近30万用户数据被泄露，包括电子邮件地址和客户管理号码。开发人员在 GitHub 上发布源代码后，通过其客户应用程序 T-Connect 公开的数据已经泄露了五年：

据了解，在2017年12月到2022年9月15日间，T-Connect是丰田的远程车载信息通信服务，车主可通过网络连接车辆，而造成本次信息泄露的原因是，替丰田开发T-Connect网站的承包商不小心上传了部分带有公共配置的源码。

2023年 1 月，丰田汽车在印度的业务也曝出信息泄露事件，部分用户的个人信息很有可能已经被攻击者获取：

据《印度斯坦时报》报道，丰田基洛斯卡汽车公司（Toyota Kirloskar Motor，TKM）在一份电子邮件声明中表示：“接到公司一家服务提供商通知，部分客户的个人信息可能已在互联网上泄露。”该声明没有透露数据泄露的规模或受影响的客户数量。

在企业的日常办公中，会经常采用第三方服务商提供的应用软件等服务。一般，企业都不会很关注第三方服务商的安全能力，也很少自己采取一定的安全措施，以保护第三方应用安全。即使，有些企业也对第三方应用采取了一些普遍的安全措施，但依然会被第三方服务商所连累，就像丰田汽车。

再如，此前有报道称，美国国家篮球协会（NBA）使用的第三方电子报服务商资料被窃，导致为数不详的粉丝个人信息外泄；美国移动手机运营商AT&T正在通知数百万名无线客户称，客户的专有网络信息 (CPNI) 在某第三方厂商遭数据泄露事件后受陷；日产（NISSAN）北美公司发送数据泄露通知，通知客户其第三方服务提供商发生泄露客户信息的安全事件，等等。

实际上，因第三方服务商而泄露用户信息数据的安全事件并不少见。根据数据科学公司Cyentia Institute的一份分析报告显示，几乎每家公司都跟遭受过数据泄露的第三方有业务往来，或者使用其产品，导致自身风险有所增加；几乎所有公司（98%）都至少与一家遭遇过数据泄露的第三方合作伙伴存在业务往来。

因此，企业有必要针对此类安全风险场景，采取专业的安全措施，保护第三方应用安全，如将第三方服务商的访问权限最小化，拒绝特权访问，保护业务系统数据数据安全；对文档数据进行安全管控，防止文档随意外发、泄露企业数据；对外发文档采取审批、审计、流转管控、文档水印等措施。