Le 7 octobre, Toyota a découvert que les adresses électroniques et les numéros de clients de 29 601 clients pouvaient avoir été compromis. Cependant, d'autres informations personnelles sensibles telles que les noms, les numéros de téléphone et les informations relatives aux cartes de crédit n'ont pas été affectées.
Selon Reuters, les personnes susceptibles d'avoir été touchées sont les clients qui se sont inscrits par courriel après juillet 2017 au service T-connect de Toyota, le service télématique de Toyota qui permet aux propriétaires de se connecter à leur véhicule via Internet.
L'enquête de Toyota a révélé que les informations des clients ont été compromises parce que l'entrepreneur qui a développé le site web T-Connect a téléchargé une partie du code source sur un compte GitHub et a accidentellement réglé les autorisations sur "public" de décembre 2017 au 15 septembre de cette année. GitHub est l'une des plus grandes communautés de code au monde, couramment utilisée par les développeurs pour stocker, gérer et collaborer sur des projets logiciels. Elle permet aux utilisateurs de découvrir et de télécharger le code public d'autres personnes par le biais de recherches. Toyota a déclaré que l'opération consistant à rendre le code source public violait les règles de manipulation du constructeur automobile.
Les experts en sécurité n'ont pas pu confirmer, à partir de l'historique d'accès au serveur de données, si un tiers avait accédé aux informations des clients, mais ils n'ont pas pu l'exclure complètement. À l'heure actuelle, Toyota n'a reçu aucun rapport faisant état d'une utilisation abusive des informations relatives aux clients. Néanmoins, Toyota avertit les utilisateurs qu'ils peuvent être harcelés par des spams ou des courriels frauduleux.
Selon le média technologique iTechPost, Toyota a envoyé un courriel d'excuses aux utilisateurs concernés par la violation. Toyota a mis en place un formulaire web où les utilisateurs peuvent vérifier si leurs courriels font partie de ceux qui ont été divulgués. Elle a également mis en place un centre d'appel dédié pour répondre aux questions des clients sur la violation des données.
