מערכת ניהול המידע העולמית של ספקי חברת טויוטה (GSPIMS) נפרצה על ידי אנליסט אבטחה אשר גילה אחריות ודיווח על חולשת אבטחת המידע לחברה. GSPIMS היא אפליקציית האינטרנט של יצרנית הרכב המאפשרת לעובדים ולספקים לגשת מרחוק ולנהל את שרשרת האספקה העולמית של החברה.
אנליסט האבטחה, המפרסם את ממצאיו תחת השם הבדוי EatonWorks, גילה דלת אחורית במערכת של טויוטה שאפשרה לכל אחד לגשת לחשבון משתמש קיים כל עוד הוא יודע את האימייל שלו. האנליסט חדר למערכת וגילה שהוא יכול לגשת בחופשיות לאלפי מסמכים חסויים, פרויקטים פנימיים, מידע אודות ספקים ועוד. חולשות האבטחה דווחו לטויוטה ב- 3 בנובמבר 2022 ויצרנית הרכב היפנית אישרה שהן תוקנו עד ה- 23 בנובמבר 2022. טויוטה לא פיצתה את האנליסט על חשיפת חולשות האבטחה שגילה.
אפליקציית GSPIMS של טויוטה בנויה על מסגרת Angular JavaScript והשתמשה במסלולים ופונקציות ספציפיות כדי לקבוע אילו משתמשים יכולים לגשת לאילו דפים. האנליסט גילה שעל ידי שינוי ה- JavaScript עבור הפונקציות הללו כך שיחזירו ערכים אמיתיים, הוא יכול לבטל את נעילת הגישה לאפליקציה. עם זאת, בעוד שהאפליקציה נטענה, היא לא הציגה נתונים כלשהם מכיוון שהאנליסט לא אומת באפליקציה. עד מהרה הוא גילה שהשירות מייצר JSON Web Token (JWT) לכניסה ללא סיסמה בהתבסס על כתובת האימייל של המשתמש. לפיכך, אם מישהו יכול היה לנחש כתובת אימייל חוקית של עובד טויוטה, הוא יכול היה ליצור JWT חוקי. חיפוש פשוט של עובדי טויוטה בלינקדאין למשל, מספיק כדי למצוא או לנסח כתובת דוא"ל שהיא המסלול בו נקט האנליסט לפריצה. משם, השיג האנליסט גישה לחשבון מנהל מערכת על ידי ניצול פגם חשיפת מידע ב- API של המערכת. לאחר מכן, הוא פשוט עבר לחשבון בעל הרשאות גבוהות יותר על ידי איתור ושימוש בכתובת הדוא"ל של מנהל מערכת. מנהל מערכת ב- GSPIMS יכול לגשת למידע רגיש כמו מסמכים מסווגים, לוחות זמנים של פרויקטים, דירוגי ספקים ונתוני משתמשים עבור 14,000 משתמשים. עבור כל אחד מהם, יכול המנהל לגשת לפרויקטים שלו, למשימות ולסקרים שלו, לשנות את פרטי המשתמש, לשנות או למחוק נתונים, להוסיף משתמשים אחרים בדלת אחורית, או להכין את הקרקע למסע מתקפות דיוג ממוקד.
ההיבט המפחיד ביותר של המתקפה הזו הוא ששחקן זדוני יכול היה בשקט להשיג גישה למערכת של טויוטה ואז להעתיק נתונים מבלי לשנות דבר, כשהוא שומר על סבירות נמוכה מאד לגילויו. אי אפשר לקבוע אם משהו כזה כבר קרה, אולם לא היו דליפות נתונים מסיביות של טויוטה, אז ההנחה היא ש- EatonWorks היה הראשון שמצא את הפגם במעקף ההתחברות.
חשיפה זו מגיעה לאחר שורה של פרצות נתונים, דליפות נתונים וחולשות אבטחה אחרות שהתגלו במהלך השנה האחרונה: בפברואר 2022 הודיעה יצרנית הרכב היפנית כי היא נאלצת להפסיק את פעילות ייצור הרכבים עקב מתקפת סייבר על אחת הספקיות שלה – Kojima Industries. באוקטובר 2022 סבלו לקוחות טויוטה מפרצת נתונים לאחר שקבלן שפיתח את Toyota T-Connect, אפליקציית הקישוריות הרשמית של המותג, השאיר חשוף לציבור מאגר GitHub המכיל נתוני לקוחות. בינואר 2023 פרסם אנליסט אבטחה את הפרטים של מספר פגמי אבטחת API המשפיעים על מספר יצרניות רכב, כולל טויוטה, העלולות לחשוף את פרטי הבעלים.
