Nissan Amérique du Nord (Nissan) a subi une violation de données l’année dernière lorsqu’un acteur de la menace a ciblé le VPN externe de l’entreprise et fermé les systèmes pour recevoir une rançon.
Le constructeur automobile a découvert la violation début novembre 2023 et a découvert récemment que l’incident exposait des données personnelles appartenant à plus de 53 000 employés actuels et anciens.
« Comme partagé lors de la réunion publique de Nissan le 5 décembre 2023, Nissan a appris le 7 novembre 2023 qu’il était victime d’une cyberattaque ciblée. En apprenant l’attaque, Nissan a rapidement informé les forces de l’ordre et a commencé à prendre des mesures immédiates pour enquêter, contenir et mettre fin avec succès à la menace”, a déclaré la société dans une notification aux personnes touchées.
Nissan a révélé que l’auteur de la menace ciblait son VPN externe, puis fermait certains systèmes de l’entreprise avant de demander une rançon. La société note qu’aucun de ses systèmes n’a été chiffré lors de l’attaque.
En collaboration avec des experts externes en cybersécurité, l’entreprise a pu évaluer la situation, contenir l’incident et mettre fin à la menace.
L’enquête qui a suivi a révélé que le pirate informatique avait accédé à certains fichiers sur des partages locaux et réseau contenant principalement des informations commerciales.
Cependant, le 28 février, la société « a identifié certaines informations personnelles dans les données concernant principalement les employés actuels et anciens de NNA [Nissan], y compris les numéros de sécurité sociale. »
Dans une notification de violation de données adressée au Bureau du procureur général du Maine, la société déclare que les détails exposés comprenaient un identifiant personnel (par exemple, un nom) et des numéros de sécurité sociale, et que les détails financiers n’étaient pas présents dans les fichiers consultés par l’auteur de la menace.
Nissan note qu’il n’est pas au courant que les données exposées ont été mal utilisées.
Pour atténuer le risque de cette exposition aux données, cependant, Nissan a joint des instructions aux destinataires de la lettre sur la façon dont ils peuvent s’inscrire à un service gratuit de surveillance du crédit et de protection contre le vol d’identité pendant 24 mois via Experian.
Nissan a été la cible de plusieurs incidents de sécurité au cours des dernières années, qui ont affecté diverses divisions du constructeur automobile japonais.
Début décembre 2023, Nissan Océanie (Australie et Nouvelle-Zélande) a annoncé une enquête sur une cyberattaque et une violation potentielle des données. En mars 2024, Nissan a confirmé que le ransomware at Akira avait volé des données appartenant à 100 000 de ses clients.
En janvier 2023, Nissan Amérique du Nord a subi une violation indirecte lorsqu’un fournisseur de services technologiques tiers a exposé les données de 17 988 clients en raison d’une base de données mal configurée.
Deux ans auparavant, Nissan Amérique du Nord avait laissé un référentiel de serveur Git exposé en ligne en utilisant les informations d’identification par défaut (admin/admin), exposant 20 Go de code source pour les applications et outils internes.
Nissan a réagi en mettant le référentiel hors ligne uniquement lorsqu’il a été averti par un chercheur qui a repéré des utilisateurs partageant le code source via des torrents.