A Nissan informou que dados pessoais de cerca de 21 mil clientes foram expostos após um acesso indevido a um servidor operado pela Red Hat. O incidente atingiu consumidores que adquiriram veículos ou realizaram serviços na então Nissan Fukuoka Motor Co., hoje denominada Nissan Fukuoka Sales Co., no Japão.
De acordo com comunicado divulgado em dezembro, a atividade suspeita foi identificada em setembro, mas a montadora só recebeu a notificação oficial no início de outubro. A empresa afirmou que não há evidências de comprometimento de informações financeiras ou de cartões de crédito, porém dados sensíveis como nome, endereço, telefone, parte do e-mail e registros utilizados em transações comerciais foram afetados.
A Nissan destacou que, até o momento, não há confirmação de uso indevido das informações vazadas. Mesmo assim, recomendou que os clientes permaneçam atentos a contatos suspeitos, como ligações, mensagens ou correspondências, já que esse tipo de dado costuma ser explorado em golpes de phishing e fraudes direcionadas.
Em nota, a montadora afirmou que leva o ocorrido a sério e que pretende intensificar o monitoramento de fornecedores terceirizados, além de adotar medidas adicionais para fortalecer sua estratégia de segurança da informação. A empresa também apresentou um pedido público de desculpas aos clientes impactados.
A Red Hat, subsidiária da IBM, já havia informado anteriormente que um agente não autorizado acessou e copiou dados de uma instância dedicada do GitLab utilizada em projetos de consultoria. Segundo a notificação repassada à Nissan, a atividade maliciosa foi detectada em 26 de setembro, com comunicação formal à montadora em 3 de outubro.
Embora nenhuma das empresas tenha atribuído oficialmente o ataque a um grupo específico, no início de outubro o grupo Crimson Collective alegou ter invadido repositórios privados da Red Hat e extraído aproximadamente 570 GB de dados, incluindo informações sensíveis de clientes. Posteriormente, os criminosos afirmaram ter se aliado a hackers ligados ao ShinyHunters em uma tentativa de extorsão.
Este é o terceiro episódio relevante de vazamento envolvendo a Nissan em um intervalo de três anos. Em maio de 2024, a empresa confirmou a exposição de dados pessoais de mais de 50 mil funcionários da América do Norte após um ataque ocorrido em 2023. Antes disso, a divisão da Oceania foi alvo do ransomware Akira, que comprometeu informações de mais de 100 mil clientes.
O caso reforça os desafios enfrentados por grandes corporações na gestão de riscos cibernéticos ao longo da cadeia de suprimentos, especialmente quando dados sensíveis dependem de ambientes terceirizados e plataformas colaborativas de desenvolvimento.
Fonte: The Registrer
