Nissan Norteamérica ha comenzado a enviar notificaciones de violación de datos informando a los clientes de una violación en un proveedor de servicios externo que expuso información de clientes.
El incidente de seguridad fue notificado a la Oficina del Fiscal General de Maine el lunes 16 de enero de 2023, donde Nissan reveló que 17.998 clientes se vieron afectados por la brecha.
En la muestra de notificación, Nissan afirma que recibió aviso de una violación de datos de uno de sus proveedores de desarrollo de software el 21 de junio de 2022.
El tercero había recibido datos de clientes de Nissan para utilizarlos en el desarrollo y prueba de soluciones de software para el fabricante de automóviles, que quedaron expuestos inadvertidamente debido a una base de datos mal configurada.
Tras conocer el incidente de seguridad, Nissan se aseguró de que la base de datos expuesta estaba protegida y puso en marcha una investigación interna. El 26 de septiembre de 2022, verificó que probablemente una persona no autorizada había accedido a los datos.
“Durante nuestra investigación, el 26 de septiembre de 2022, determinamos que este incidente probablemente dio lugar al acceso o adquisición no autorizados de nuestros datos, incluida cierta información personal perteneciente a clientes de Nissan”, dice el aviso.
“Específicamente, los datos incrustados dentro del código durante las pruebas de software se almacenaron involuntaria y temporalmente en un repositorio público basado en la nube”.
Los datos expuestos incluyen nombres completos, fechas de nacimiento y números de cuenta NMAC (cuenta financiera de Nissan). Además, el aviso aclara que la información expuesta no incluía detalles de tarjetas de crédito ni números de la Seguridad Social.
Nissan afirma que, hasta la fecha, no ha visto indicios de que se haya hecho un uso indebido de esta información y envía los avisos por precaución.
Además, se ofrecerá a todos los destinatarios de los avisos de violación un año de servicios de protección de identidad a través de Experian.
Problemas anteriores
En enero de 2021, Nissan Norteamérica sufrió un incidente similar, al dejar un servidor Git expuesto en línea con credenciales de acceso predeterminadas, lo que provocó que varios repositorios de la firma se hicieran públicos.
Este incidente provocó la filtración de 20 GB de datos, incluyendo el código fuente de apps móviles y herramientas internas, datos de estudios de mercado y captación de clientes, diagnósticos y detalles de los servicios NissanConnect.
Más recientemente, en octubre de 2022, Toyota sufrió un incidente de seguridad de datos similar en el que quedó expuesta la información personal de 296.019 clientes.
El incidente se produjo porque un repositorio de GitHub que contenía claves de acceso a las bases de datos de la empresa se dejó abierto al acceso público durante cinco años.
Además, se ha demostrado que Nissan y otras empresas automovilísticas siguen prácticas deficientes de seguridad de las API en sus aplicaciones móviles y portales en línea, lo que puede dar lugar a la apropiación de cuentas y a la exposición de información sensible.
Fuente: bleepingcomputer.com
