Olay Haziran 2022’de gerçekleşti ancak tam etkisi ancak 26 Eylül 2022’de ortaya çıktı.
Nissan North America, Inc., 21 Haziran 2022’de yaklaşık 18.000 müşteriyi etkileyen bir veri ihlali yaşadı, ancak olay 26 Eylül 2022’ye kadar tam olarak ortaya çıkmadı. Bu, Maine Başsavcılığı Ofisi tarafından yayınlanan bir ihlal bildiriminde ortaya çıktı.
Bu olay sürpriz olmamalı çünkü Ocak 2021’de, Nissan, Nissan Kuzey Amerika’ya ait 20 GB değerinde veri varlığını ifşa etti. Daha da kötüsü, otomotiv devi, açığa çıkan depo için kullanıcı adı ve şifre olarak “admin”i kullandı.
Aralık 2017’deNissan’ın Kanada’daki operasyonları, 1.13 milyon Nissan Canada Finance’in kişisel verilerinin ele geçirildiği bir siber saldırıyla sarsıldı.
En son veri ifşasına gelince, olay, binlerce Nissan müşterisine ait kişisel bilgilerin yazılım testi için üçüncü taraf bir geliştiriciye sağlanması nedeniyle gerçekleşti.
Ancak, verileri geçici olarak bulut tabanlı bir genel depoda depoladılar. 21 Haziran’da Nissan bu verilerin hizmet sağlayıcı tarafından yanlışlıkla ifşa edildiği konusunda bilgilendirildi.
“26 Eylül 2022’deki araştırmamız sırasında, bu olayın, Nissan müşterilerine ait bazı kişisel bilgiler de dahil olmak üzere, verilerimize yetkisiz erişim veya verilerimizin alınmasıyla sonuçlanmış olabileceğini belirledik. Spesifik olarak, yazılım testi sırasında kodun içine gömülen veriler, kasıtsız olarak ve geçici olarak bulut tabanlı bir genel depoda saklandı.”
Açıklanan veriler, araç finansmanıyla ilgili adlar, doğum tarihleri ve NMAC hesap numaraları gibi kişisel bilgileri içeriyordu. Nissan, ihlalin Sosyal Güvenlik numaralarını veya kredi kartı bilgilerini içermediğini doğruladı.
Nissan, “Bu sorunu öğrenir öğrenmez, üçüncü taraf sağlayıcının verilere yetkisiz erişimi devre dışı bırakarak tehdidi kontrol altına almasını sağladık ve hızlı ve kapsamlı bir soruşturma başlattık” dedi.
“Gelecekte buna benzer olayları önlemek için adımlar atmasını sağlamak için üçüncü taraf hizmet sağlayıcıyla birlikte çalıştık. Araştırmamızın bir parçası olarak, bu tür karmaşık güvenlik olaylarını ele alma konusunda deneyimli harici siber güvenlik uzmanlarıyla çok yakın çalıştık.”
Açığa çıkan verilerin kötüye kullanıldığına dair hiçbir kanıt olmamasına rağmen, bilgisayar korsanı forumlarında çevrimiçi olarak paylaşılma olasılığı göz ardı edilemez. Büyük miktarda kişisel bilgi, bilgisayar korsanlarının ikna edici kimlik avı mesajlarıyla müşterileri hedeflemesine ve daha fazla bilgi elde etmesine olanak tanır.
Alakalı haberler
- Bilgisayar Korsanları Uzaktan Honda Arabalarının Kilidini Nasıl Açabilir/Başlatabilir?
- 100.300 CityBee kullanıcısının giriş bilgileri internete sızdırıldı
- Otomotiv Endüstrisi Büyük API Güvenlik Açıklarına Maruz Kalıyor
- Nissan Leaf, Savunmasız API’ler Nedeniyle Tehdit Altında Olabilir
- Uygulama Kusuruna İzin Verilen Nissan Cars VIN numarasını bilerek Hack