Dữ liệu vị trí bị lộ trực tuyến từ tháng 11/2013 đến giữa tháng 4/2023 trong khi video được lưu trữ không an toàn trong khoảng thời gian từ tháng 11/2015 đến đầu tháng 4/2023.

Toyota cho biết bản thân dữ liệu không thể được sử dụng để xác định chủ sở hữu xe hơi cá nhân. Nhà sản xuất ô tô cũng cho biết họ không tìm thấy bằng chứng nào cho thấy bên ngoài đã truy cập dữ liệu. Sự cố ảnh hưởng đến 2,15 triệu người dùng dịch vụ T-Connect của Toyota và dịch vụ G-Link tương tự của Lexus.

Vụ việc xảy ra chỉ vài tháng sau khi Toyota cho biết một nhà thầu phụ đã vô tình tải lên kho lưu trữ GitHub công khai mã nguồn cho T-Connect, trong đó có chứa khóa truy cập vào máy chủ dữ liệu chứa gần 300.000 địa chỉ email. Toyoyta đã thu thập các địa chỉ email đó từ tháng 12/2017. Hãng đã phát hiện ra kho lưu trữ công khai vào ngày 15/9/2022, đặt nó ở chế độ riêng tư vào ngày hôm đó và thay đổi khóa truy cập hai ngày sau đó.

Nhà phân phối Toyota tại Ý vào tháng 3/2023 cũng cho biết số điện thoại và địa chỉ email của khách hàng đã bị lộ trong hơn 18 tháng thông qua một phiên bản của Salesforce Marketing Cloud. Việc lộ dữ liệu cho phép các bên thứ ba "truy cập số điện thoại và địa chỉ email, thông tin theo dõi khách hàng và email, SMS và nội dung thông báo gửi tới khách hàng".