日產(chǎn)汽車北美數(shù)據(jù)泄露,系第三方供應(yīng)商暴露

發(fā)布時(shí)間 2023-01-28

1月16日消息,日產(chǎn)汽車北美公司向客戶發(fā)送數(shù)據(jù)泄露通知,告知第三方服務(wù)提供商發(fā)生泄露客戶信息事件,約17998名客戶受到了影響。泄露的客戶數(shù)據(jù)包括全名、出生日期和NMAC賬號(hào)(日產(chǎn)金融賬戶)。


日產(chǎn)汽車稱其于2022年6月21日收到了軟件開發(fā)供應(yīng)商的數(shù)據(jù)泄露通知。該第三方供應(yīng)商接收日產(chǎn)汽車客戶數(shù)據(jù),為其開發(fā)和測試軟件解決方案,由于數(shù)據(jù)庫配置不當(dāng)造成數(shù)據(jù)泄露。


日產(chǎn)汽車收到泄露通知后展開了內(nèi)部調(diào)查,2022年9月26日,它證實(shí)了一個(gè)未經(jīng)授權(quán)的訪問者觸及了這些數(shù)據(jù)。公告中寫道,“經(jīng)過調(diào)查,在軟件測試期間嵌入在代碼中的數(shù)據(jù),無意中臨時(shí)存儲(chǔ)在云公共存儲(chǔ)庫。”但是,該通知澄清,被泄露的信息不包括信用卡信息或社會(huì)安全號(hào)碼。


日產(chǎn)汽車表示,到目前為止沒有任何證據(jù)表明這些暴露的信息被濫用,通知客戶僅是出于謹(jǐn)慎。此外,所有收到違規(guī)通知的人都將獲得一年的身份保護(hù)服務(wù)會(huì)員資格。


2021年1月,日產(chǎn)汽車北美公司經(jīng)歷了類似的事件,一臺(tái)Git服務(wù)器在線暴露,并使用默認(rèn)訪問憑據(jù),導(dǎo)致該公司的幾個(gè)存儲(chǔ)庫公開。此次事件導(dǎo)致20 GB的數(shù)據(jù)泄露,包括移動(dòng)應(yīng)用程序和內(nèi)部工具源代碼、市場研究和客戶收購數(shù)據(jù)、診斷和NissanConnect服務(wù)細(xì)節(jié)。


除了日產(chǎn)汽車,其他日本汽車制造商也發(fā)生過數(shù)據(jù)泄露事件。2022年10月,豐田近30萬客戶的個(gè)人信息被泄露,因?yàn)橐粋€(gè)包含該公司數(shù)據(jù)庫訪問密鑰的GitHub存儲(chǔ)庫對(duì)公眾開放了五年。


此外,安全媒體城,日產(chǎn)汽車和其他汽車制造商的移動(dòng)應(yīng)用程序和在線門戶網(wǎng)站的API安全措施十分糟糕,可能導(dǎo)致賬戶接管和敏感信息暴露。