Posté le janvier 17, 2023 à 6:17

NISSAN NORTH AMERICA RÉVÈLE LA VIOLATION DE DONNÉES QUI A EXPOSÉ LES INFORMATIONS DES CLIENTS

Nissan North America a été victime d’une importante violation de données et a déjà alerté ses clients à ce sujet. La violation s’est produite chez un fournisseur de services tiers, ce qui a entraîné l’exposition d’informations sur les clients.

Nissan North America subit une violation de données

L’entreprise a déjà signalé l’incident de sécurité au bureau du procureur général du Maine. Le rapport a été établi le 16 janvier 2023. Nissan y a révélé que la violation avait touché 17 998 clients.

Dans la notification que Nissan a envoyée à ses clients, la société a affirmé que l’un de ses fournisseurs, spécialisé dans le développement de logiciels, l’avait alertée d’une violation de données le 21 juin 2022. Le fournisseur de logiciels a fait part de l’ampleur de la violation et des effets qu’elle a eus sur les clients de Nissan.

Nissan avait partagé des données clients avec le fournisseur de services tiers afin qu’elles soient utilisées pour créer et tester des solutions logicielles pour le constructeur automobile. Cependant, les données clients partagées ont été exposées aux acteurs de la menace, car le fournisseur était vulnérable en raison d’une base de données mal configurée.

Après avoir été informé de cette violation, Nissan a déclaré avoir sécurisé la base de données exposée. Il a ensuite mené une enquête interne pour déterminer l’ampleur de la violation. Cette enquête a révélé que le 26 septembre de l’année dernière, une personne non autorisée avait probablement accédé aux données. Cela montre que des acteurs malveillants ont pu s’infiltrer dans les données et accéder aux informations de certains clients.

L’avis du constructeur automobile note que « pendant notre enquête du 26 septembre 2022, nous avons déterminé que cet incident a probablement entraîné l’accès non autorisé ou l’acquisition de nos données, y compris certaines informations personnelles appartenant à des clients de Nissan. »

Le constructeur automobile a révélé que les données exposées étaient intégrées dans le code lors du test du logiciel développé pour l’entreprise par le fournisseur. Les données étaient temporairement stockées dans un référentiel public basé sur le cloud, ce qui les exposait à une violation potentielle des données.

Les informations clients volées lors de la violation comprennent des détails tels que les noms complets, les dates de naissance et les numéros de compte de leur compte de financement Nissan (NMAC). Toutefois, Nissan a précisé que les informations volées ne comprennent pas de données plus sensibles telles que les numéros de sécurité sociale ou les données des cartes de crédit.

Depuis que la violation s’est produite et que Nissan a mené une enquête à ce sujet, Nissan a déclaré qu’elle n’avait obtenu aucune preuve montrant que les informations des clients avaient été utilisées à mauvais escient. Et ce, malgré les signes indiquant qu’une personne non autorisée avait probablement accédé aux données. Le constructeur automobile a également indiqué qu’il avait envoyé des avis à ses clients pour leur demander de rester vigilants au cas où les données volées seraient utilisées pour d’autres attaques, telles que des campagnes de phishing.

Nissan offre par ailleurs une prime aux plus de 17 000 clients touchés par la violation. L’entreprise a déclaré que ceux qui recevront un avis de violation recevront un abonnement d’un an à des services de protection de l’identité. C’est Experian qui fournira ce service.

Les constructeurs automobiles en proie à des incidents liés à la sécurité des données

Les attaques de cybersécurité se multiplient dans différentes industries, et le secteur automobile n’est pas épargné. La récente violation des données d’un fournisseur tiers n’est pas le seul incident survenu chez Nissan North America.

La société a également été victime d’un incident de sécurité similaire en janvier de l’année dernière. La violation a entraîné l’exposition en ligne d’un serveur Git. Le serveur contenait des identifiants d’accès par défaut, ce qui a permis de rendre publics plusieurs dépôts de l’entreprise.

Il s’agit de l’une des plus importantes violations que Nissan North America ait connues, qui a entraîné la fuite de 20 Go de données. Les informations divulguées comprennent le code source d’applications mobiles et d’outils internes, des données sur les acquisitions de clients et les études de marché, des diagnostics et les informations sur les services NissanConnect.

Nissan n’est pas le seul constructeur automobile à avoir subi une violation l’année dernière. En octobre de cette année, Toyota a également été victime d’une violation similaire. Les données personnelles de 296 019 clients ont été exposées en ligne.

L’exposition d’un référentiel GitHub a provoqué la violation chez Toyota. Le référentiel qui contenait les clés d’accès aux bases de données de Toyota a été laissé ouvert au public pendant cinq ans, et les acteurs de la menace ont exploité cette vulnérabilité pour voler des informations. En outre, à l’instar d’autres constructeurs automobiles, Nissan a adopté de mauvaises pratiques en matière de sécurité des API sur ses applications mobiles et ses portails en ligne. Cela a conduit à des prises de contrôle de comptes et à l’exposition d’informations sur les clients qui ont pu être utilisées ultérieurement pour mener d’autres campagnes.