L'application de Toyota pouvait se bypass grâce à une route qui permettait de générer un JWT depuis seulement un email.

Une feature d'impersonation qui n'a pas du passé de contrôle qualité et qui une fois un production permet de contourner tous les autres mécanismes d'authentification 2FA etc.

Le pire dans cette histoire c'est que Toyota n'a pas donné 1 seul centime au chercheur qui a trouvé la faille et l'a signalé à Toyota pour qu'ils puissent corriger!