Nissan Kuzey Amerika, müşterileri üçüncü taraf bir hizmet sağlayıcıda müşteri bilgilerini ifşa eden bir ihlal hakkında bilgilendiren veri ihlali bildirimleri göndermeye başladı.
Güvenlik olayı, 16 Ocak 2023 Pazartesi günü Maine Başsavcı Ofisine bildirildi ve burada Nissan, ihlalden 17.998 müşterinin etkilendiğini açıkladı.
Bildirim örneğinde Nissan, yazılım geliştirme tedarikçilerinden birinden 21 Haziran 2022’de bir veri ihlali bildirimi aldığını iddia ediyor.
Üçüncü taraf, otomobil üreticisi için yazılım çözümlerinin geliştirilmesinde ve test edilmesinde kullanılmak üzere Nissan’dan müşteri verilerini aldı ve bu veriler, kötü yapılandırılmış bir veri tabanı nedeniyle yanlışlıkla açığa çıktı.
Güvenlik olayını öğrendikten sonra Nissan, açığa çıkan veri tabanının güvenliğini sağladı ve bir iç soruşturma başlattı. 26 Eylül 2022’de, yetkisiz bir kişinin verilere büyük olasılıkla erişmiş olduğunu doğruladı.
Bildiride, “26 Eylül 2022’deki araştırmamız sırasında, bu olayın büyük olasılıkla Nissan müşterilerine ait bazı kişisel bilgiler de dahil olmak üzere verilerimize yetkisiz erişim veya verilerimizin alınmasıyla sonuçlandığını belirledik.”
“Özellikle, yazılım testi sırasında kodun içine gömülen veriler, istemeden ve geçici olarak bulut tabanlı bir genel depoda saklandı.”
Açıklanan veriler tam adları, doğum tarihlerini ve NMAC hesap numaralarını (Nissan finans hesabı) içerir. Ek olarak, bildirim, ifşa edilen bilgilerin kredi kartı bilgilerini veya Sosyal Güvenlik numaralarını içermediğini açıklığa kavuşturuyor.
Nissan, bugüne kadar bu bilgilerin herhangi birinin kötüye kullanıldığına dair hiçbir kanıt görmediğini ve çok fazla ihtiyat nedeniyle bildirimler gönderdiğini söylüyor.
Ek olarak, ihlal bildirimlerinin tüm alıcılarına Experian aracılığıyla bir yıllık kimlik koruma hizmetleri üyeliği sunulacak.
Geçmiş problemler
Ocak 2021’de Nissan Kuzey Amerika benzer bir olay yaşadı ve bir Git sunucusunu varsayılan erişim kimlik bilgileriyle çevrimiçi olarak açığa çıkardı ve firmanın birkaç deposunun halka açılmasıyla sonuçlandı.
Bu olay, mobil uygulamalar ve dahili araçların kaynak kodu, pazar araştırması ve müşteri edinme verileri, teşhis ve NissanConnect hizmetleri ayrıntıları dahil olmak üzere 20 GB verinin sızmasına neden oldu.
Daha yakın bir tarihte, Ekim 2022’de Toyota, 296.019 müşterinin kişisel bilgilerinin açığa çıktığı benzer bir veri güvenliği olayı yaşadı.
Olay, şirketin veritabanlarına erişim anahtarlarını içeren bir GitHub deposunun beş yıl boyunca halkın erişimine açık bırakılması nedeniyle meydana geldi.
Ayrıca, Nissan ve diğer otomobil şirketlerinin mobil uygulamalarında ve çevrimiçi portallarında zayıf API güvenlik uygulamalarını takip ettikleri ve potansiyel olarak hesapların ele geçirilmesine ve hassas bilgilerin açığa çıkmasına neden olduğu gösterildi.