Nissan Nordamerika hat letztes Jahr eine erhebliche Datenpanne erlitten, bei der persönliche Daten von mehr als 53.000 aktuellen und ehemaligen Mitarbeitern durch einen gezielten Cyberangriff auf das externe VPN des Unternehmens offengelegt wurden. Der Angriff führte zur Abschaltung bestimmter Systeme und zur Forderung eines Lösegelds durch die Angreifer.
Wie das Unternehmen bei einem Town-Hall-Meeting am 5. Dezember 2023 mitteilte, wurde der Vorfall am 7. November 2023 entdeckt. Nissan reagierte umgehend, indem es die Strafverfolgungsbehörden informierte und Maßnahmen zur Untersuchung, Eindämmung und erfolgreichen Beendigung der Bedrohung einleitete.
Die Untersuchung ergab, dass der Hacker auf einige Dateien auf lokalen und Netzwerkfreigaben zugreifen konnte, die hauptsächlich Geschäftsinformationen enthielten. Jedoch wurde am 28. Februar festgestellt, dass in den Daten vorrangig persönliche Informationen von aktuellen und ehemaligen Mitarbeitern, einschließlich Sozialversicherungsnummern, enthalten waren.
In einer Mitteilung an das Büro des Generalstaatsanwalts von Maine betonte Nissan, dass in den vom Angreifer eingesehenen Dateien keine finanziellen Details vorhanden waren, aber persönliche Identifikatoren wie Namen und Sozialversicherungsnummern betroffen waren. Nissan ist sich bisher nicht bewusst, dass die offengelegten Daten missbraucht wurden.
Als Reaktion auf das Datenleck bietet Nissan den betroffenen Personen eine kostenlose 24-monatige Überwachung der Kreditwürdigkeit und Schutz vor Identitätsdiebstahl durch Experian an.
Diese Datenpanne reiht sich in eine Serie von Sicherheitsvorfällen ein, die verschiedene Divisionen des japanischen Automobilherstellers in den letzten Jahren betrafen. Im Dezember 2023 kündigte Nissan Ozeanien eine Untersuchung eines Cyberangriffs und eines potenziellen Datenlecks an. Im März 2024 bestätigte Nissan, dass die Akira-Ransomware Daten von 100.000 Kunden gestohlen hatte.
Bereits im Januar 2023 wurde Nissan Nordamerika indirekt betroffen, als ein Drittanbieter technologischer Dienste die Daten von 17.988 Kunden aufgrund einer schlecht konfigurierten Datenbank offenlegte. Zwei Jahre zuvor hatte Nissan Nordamerika ein ungesichertes Git-Server-Repository mit Standard-Anmeldeinformationen (admin/admin) online gelassen, was zur Offenlegung von 20 GB Quellcode für interne Anwendungen und Tools führte. Der Repository wurde erst offline genommen, nachdem ein Forscher darauf aufmerksam gemacht hatte, dass Nutzer den Quellcode über Torrents teilten.