日產(chǎn)汽車北美數(shù)據(jù)泄露,系第三方供應(yīng)商暴露

發(fā)布時(shí)間 2023-01-28

1月16日消息,日產(chǎn)汽車北美公司向客戶發(fā)送數(shù)據(jù)泄露通知,告知第三方服務(wù)提供商發(fā)生泄露客戶信息事件,約17998名客戶受到了影響。泄露的客戶數(shù)據(jù)包括全名、出生日期和NMAC賬號(hào)(日產(chǎn)金融賬戶)。


日產(chǎn)汽車稱其于2022年6月21日收到了軟件開發(fā)供應(yīng)商的數(shù)據(jù)泄露通知。該第三方供應(yīng)商接收日產(chǎn)汽車客戶數(shù)據(jù),為其開發(fā)和測(cè)試軟件解決方案,由于數(shù)據(jù)庫(kù)配置不當(dāng)造成數(shù)據(jù)泄露。


日產(chǎn)汽車收到泄露通知后展開了內(nèi)部調(diào)查,2022年9月26日,它證實(shí)了一個(gè)未經(jīng)授權(quán)的訪問(wèn)者觸及了這些數(shù)據(jù)。公告中寫道,“經(jīng)過(guò)調(diào)查,在軟件測(cè)試期間嵌入在代碼中的數(shù)據(jù),無(wú)意中臨時(shí)存儲(chǔ)在云公共存儲(chǔ)庫(kù)。”但是,該通知澄清,被泄露的信息不包括信用卡信息或社會(huì)安全號(hào)碼。


日產(chǎn)汽車表示,到目前為止沒(méi)有任何證據(jù)表明這些暴露的信息被濫用,通知客戶僅是出于謹(jǐn)慎。此外,所有收到違規(guī)通知的人都將獲得一年的身份保護(hù)服務(wù)會(huì)員資格。


2021年1月,日產(chǎn)汽車北美公司經(jīng)歷了類似的事件,一臺(tái)Git服務(wù)器在線暴露,并使用默認(rèn)訪問(wèn)憑據(jù),導(dǎo)致該公司的幾個(gè)存儲(chǔ)庫(kù)公開。此次事件導(dǎo)致20 GB的數(shù)據(jù)泄露,包括移動(dòng)應(yīng)用程序和內(nèi)部工具源代碼、市場(chǎng)研究和客戶收購(gòu)數(shù)據(jù)、診斷和NissanConnect服務(wù)細(xì)節(jié)。


除了日產(chǎn)汽車,其他日本汽車制造商也發(fā)生過(guò)數(shù)據(jù)泄露事件。2022年10月,豐田近30萬(wàn)客戶的個(gè)人信息被泄露,因?yàn)橐粋€(gè)包含該公司數(shù)據(jù)庫(kù)訪問(wèn)密鑰的GitHub存儲(chǔ)庫(kù)對(duì)公眾開放了五年。


此外,安全媒體城,日產(chǎn)汽車和其他汽車制造商的移動(dòng)應(yīng)用程序和在線門戶網(wǎng)站的API安全措施十分糟糕,可能導(dǎo)致賬戶接管和敏感信息暴露。