Nissan North America は、顧客情報を漏えいしたサードパーティ サービス プロバイダーでの侵害を顧客に知らせるデータ侵害通知の送信を開始しました。
セキュリティ インシデントは 2023 年 1 月 16 日月曜日にメイン州司法長官室に報告され、そこで日産は17,998 人の顧客が侵害の影響を受けたことを明らかにしました。
通知のサンプルでは、日産は、2022 年 6 月 21 日にソフトウェア開発ベンダーの 1 つからデータ侵害の通知を受け取ったと主張しています。
サードパーティは、日産から顧客データを受け取り、自動車メーカー向けのソフトウェア ソリューションの開発とテストに使用しましたが、データベースの構成が不十分だったために、このデータが誤って公開されました。
セキュリティ インシデントを知った日産は、公開されたデータベースが保護されていることを確認し、内部調査を開始しました。 2022 年 9 月 26 日、権限のない人物がデータにアクセスした可能性が高いことを確認しました。
「2022 年 9 月 26 日の調査中に、このインシデントが、日産の顧客に属する一部の個人情報を含むデータへの不正アクセスまたは取得につながった可能性が高いと判断しました」 と通知を読みます。
公開されたデータには、氏名、生年月日、および NMAC 口座番号 (日産金融口座) が含まれます。さらに、公開された情報にはクレジット カードの詳細や社会保障番号が含まれていないことも通知で明らかにされています。
日産は、今日まで、この情報が悪用されたという証拠は見られず、十分な注意を払って通知を送信していると述べています.
さらに、違反通知のすべての受信者には、Experian を通じて ID 保護サービスの 1 年間のメンバーシップが提供されます。
過去の問題
2021 年 1 月には、北米日産でも同様のインシデントが発生し、Git サーバーがデフォルトのアクセス資格情報でオンラインに公開され、会社のいくつかのリポジトリが公開されました。
このインシデントにより、モバイルアプリと内部ツールのソースコード、市場調査と顧客獲得データ、診断、NissanConnect サービスの詳細を含む20 GB のデータが流出しました。
最近では、2022 年 10 月に、トヨタは296,019 人の顧客の個人情報が漏洩するという同様のデータ セキュリティ インシデントを経験しました。
このインシデントは、同社のデータベースへのアクセス キーを含む GitHub リポジトリが 5 年間公開されていたため発生しました。
また、日産やその他の自動車会社は、モバイル アプリやオンライン ポータルで貧弱な API セキュリティプラクティスに従っていることが示され、アカウントの乗っ取りや機密情報の漏えいにつながる可能性があります。
Comments