Nissan potwierdził, że w czerwcu 2022 doszło do naruszenia bezpieczeństwa danych, w wyniku którego nieupoważnione osoby trzecie uzyskały dostęp do poufnych informacji umożliwiających identyfikację klientów.

Firma zgłosiła incydent do Biura Prokuratora Generalnego i zaczęła wysyłać powiadomienia o naruszeniu do swoich klientów. Z raportów wynika, że Nissan nie wziął jednak odpowiedzialności za wyciek.

Zobacz również:

• Nowoczesne samochody łatwym kąskiem dla cyberprzestępców
• Największe problemy sztucznej inteligencji od OpenAI
• W jaki sposób najczęściej dochodzi do naruszeń danych?

Producent podkreślił w doniesieniach, że dane zostały utracone, ponieważ baza danych została źle skonfigurowana przez zewnętrznego dostawcę. Dodał, że nie użyto żadnego złośliwego oprogramowania.

Wyciek danych z winy dostawcy zewnętrznego

W swoim oświadczeniu Nissan twierdzi, że przekazał firmie zajmującej się tworzeniem oprogramowania dane klientów, co było niezbędne w procesie tworzenia i testowania systemu potrzebnego dla producenta. Dane były jednak źle przechowywane i słabo chronione, co spowodowało, że strona trzecia uzyskała do nich dostęp i najprawdopobniej je ukradła.

Sprawdź: Filetracker

Inaczej mówiąc, software house współpracował z Nissanem, tworzył odpowiednie oprogramowanie, ale nie zadbał o bezpieczeństwo.

Firma stwierdza w komunikacie: "Podczas naszego dochodzenia 26 września 2022 r. ustaliliśmy, że ten incydent prawdopodobnie doprowadził do nieautoryzowanego dostępu lub przejęcia naszych danych, w tym niektórych danych osobowych należących do klientów Nissana".

Dodatkowo producent samochodów stwierdził, że w szczególności dane osadzone w kodzie podczas testowania oprogramowania były nieumyślnie i tymczasowo przechowywane w publicznym repozytorium w chmurze.

Zobacz: 5G w Polsce

Naruszenie dotyczyło łącznie 17 998 klientów. Uzyskano dostęp do ich pełnych imion i nazwisk, dat urodzenia oraz numerów kont NMAC (konta finansowe Nissan).

Według Nissana nie ma dowodów na to, że dane zostały użyte gdzieś przez cyberprzestępców. Jednocześnie firma poinformowała wszystkich klientów o naruszeniu i przyznała im bezpłatne, roczne członkostwo w usługach ochrony tożsamości za pośrednictwem Experian.