Otomobil üreticisi Nissan, Haziran 2023’te müşterilerinin hassas, kişisel olarak tanımlanabilir bilgilerine yetkisiz üçüncü taraflarca erişildiği bir veri ihlaline maruz kaldığını doğruladı.
Şirket, olayı Maine Başsavcılığına bildirdi ve etkilenen müşterilere ihlal bildirimleri göndermeye başladı.
Bu raporlara göre, olayın sorumluluğunu tam olarak üstlenmedi, bunun yerine üçüncü taraf bir satıcıya ait yanlış yapılandırılmış bir veritabanının sonucu olduğunu söyledi. Kötü amaçlı yazılım yok (yeni sekmede açılır) kullanılmış gibi görünüyor.
İstenmeyen ve geçici
Nissan yaptığı açıklamada, geçen yıl bir yazılım geliştirme şirketine, otomobil üreticisi için yazılım geliştirme ve test etme sürecinde ihtiyaç duyulan müşteri verilerini verdiğini söyledi. Veriler kötü bir şekilde depolandı ve kötü korundu, bu da üçüncü bir tarafın erişim kazanmasına ve büyük olasılıkla istihbaratı çalmasına neden oldu.
Şirket, “26 Eylül 2022’deki araştırmamız sırasında, bu olayın büyük ihtimalle Nissan müşterilerine ait bazı kişisel bilgiler de dahil olmak üzere verilerimize yetkisiz erişim veya verilerimizin alınmasıyla sonuçlandığını belirledik.”
“Özellikle, yazılım testi sırasında kodun içine gömülen veriler, istemeden ve geçici olarak bulut tabanlı bir genel depoda saklandı.”
Maine Başsavcılığı ile paylaşılan olay raporuna göre, ihlalden toplam 17.998 müşteri etkilendi. Bu müşterilerin tam adlarına, doğum tarihlerine ve NMAC hesap numaralarına (Nissan finans hesabı) erişildi. Ödeme verilerinin yanı sıra Sosyal Güvenlik numaralarına erişilmediği iddia edildi.
Nissan, verilere erişilmiş olabileceğini, ancak henüz herhangi bir yasa dışı faaliyet için kullanılmadığını söylüyor. Şirkete göre, Ata’nın vahşi doğada kötüye kullanıldığına dair bir kanıt yok. Etkilenen kullanıcılara, Experian aracılığıyla kimlik koruma hizmetleri için bir yıllık ücretsiz üyelik verildi.
Üzerinden: BleepingBilgisayar (yeni sekmede açılır)