Cyberthreat.id – Nissan Amerika Utara mengirimkan pemberitahuan pelanggaran data untuk memberi tahu pelanggan tentang pelanggaran di penyedia layanan pihak ketiga yang mengungkap informasi pelanggan.

Dikutip dari Bleeping Computer, insiden keamanan tersebut dilaporkan ke Kantor Kejaksaan Agung Maine pada Senin, 16 Januari 2023, di mana Nissan mengungkapkan bahwa 17.998 pelanggan terkena dampak pelanggaran tersebut. Dalam sampel notifikasi, Nissan mengklaim menerima pemberitahuan tentang pelanggaran data dari salah satu vendor pengembangan perangkat lunaknya pada 21 Juni 2022.

Sementara itu, pihak ketiga telah menerima data pelanggan dari Nissan untuk digunakan dalam mengembangkan dan menguji solusi perangkat lunak untuk pembuat mobil tersebut, yang secara tidak sengaja terekspos karena database yang tidak terkonfigurasi dengan baik.

Setelah mengetahui insiden keamanan tersebut, Nissan memastikan database yang terbuka telah diamankan dan meluncurkan penyelidikan internal. Pada 26 September 2022, diverifikasi bahwa orang yang tidak berwenang kemungkinan telah mengakses data tersebut.

“Selama penyelidikan kami, pada 26 September 2022, kami menentukan bahwa insiden ini kemungkinan besar mengakibatkan akses atau akuisisi data kami yang tidak sah, termasuk beberapa informasi pribadi milik pelanggan Nissan,” kata Nissan.

Nissan mengatakan, secara khusus, data yang disematkan di dalam kode selama pengujian software secara tidak sengaja dan disimpan sementara di repositori publik berbasis cloud.

Data yang terungkap meliputi nama lengkap, tanggal lahir, dan nomor akun NMAC (akun keuangan Nissan). Selain itu, pemberitahuan tersebut mengklarifikasi bahwa informasi yang terungkap tidak menyertakan detail kartu kredit atau nomor Jaminan Sosial.

Hingga saat ini, tidak ada bukti bahwa informasi ini telah disalahgunakan dan mengirimkan pemberitahuan tersebut karena sangat berhati-hati. Selain itu, semua penerima pemberitahuan pelanggaran akan ditawarkan keanggotaan satu tahun untuk layanan perlindungan identitas melalui Experian.

Pada Januari 2021, Nissan Amerika Utara mengalami kejadian serupa, membuat server Git terbuka secara online dengan kredensial akses default, mengakibatkan beberapa repositori perusahaan menjadi publik. Insiden ini menyebabkan kebocoran data sebesar 20 GB, termasuk aplikasi seluler dan kode sumber alat internal, riset pasar dan data akuisisi klien, diagnostik, dan detail layanan NissanConnect.

Baru-baru ini, pada Oktober 2022, Toyota mengalami insiden keamanan data serupa di mana informasi pribadi 296.019 pelanggan terungkap. Insiden tersebut terjadi karena repositori GitHub yang berisi kunci akses ke database perusahaan dibiarkan terbuka untuk akses publik selama lima tahun.

Selain itu, Nissan, dan perusahaan mobil lainnya, terbukti mengikuti praktik keamanan API yang buruk di aplikasi seluler dan portal online mereka, yang berpotensi menyebabkan pengambilalihan akun dan pemaparan informasi sensitif.