A Nissan emitiu um comunicado na terça-feira, 15, no qual informa que descobriu recentemente que a violação de dados da qual a subsidiária na América do Norte foi vítima no início de novembro do ano passado expôs dados pessoais pertencentes a mais de 53 mil funcionários, atuais e ex-empregados. A violação ocorreu quando um hacker atacou a VPN externa da empresa e desligou sistemas e passou a exigir o pagamento de resgate.
“Conforme compartilhado durante a reunião de toda a organização em 5 de dezembro de 2023, a Nissan soube em 7 de novembro de 2023 que foi vítima de um ataque cibernético direcionado. Ao tomar conhecimento do ataque, a Nissan notificou prontamente as autoridades e começou a tomar medidas imediatas para investigar, conter e encerrar com sucesso a ameaça”, disse a montadora japonesa em uma notificação aos funcionários afetados.
A Nissan revelou que o operador da ameaça teve como alvo sua VPN externa e, em seguida, desligou determinados sistemas da empresa antes de pedir resgate. A empresa observa que nenhum de seus sistemas foi criptografado durante o ataque.
Ainda segundo o comunicado, trabalhando com especialistas externos em segurança cibernética, a empresa conseguiu avaliar a situação, conter o incidente e encerrar a ameaça. A investigação subsequente revelou que o hacker acessou alguns arquivos em compartilhamentos locais e de rede que continham principalmente informações comerciais. No entanto, em 28 de fevereiro, a empresa “identificou certas informações pessoais nos dados, principalmente relacionadas a funcionários atuais e antigos da NNA [Nissan], incluindo números de seguro social”.
Em uma notificação de violação de dados encaminhada ao Gabinete do Procurador-Geral do Maine, EUA, a empresa afirma que os detalhes expostos incluíam um identificador pessoal (por exemplo, nome) e números de segurança social, e que os detalhes financeiros não estavam presentes nos ficheiros acedidos pelo autor da ameaça.
A Nissan observa que não tem conhecimento de que os dados expostos tenham sido utilizados indevidamente. Para mitigar o risco da exposição de dados, porém, disse que incluiu instruções para os destinatários das cartas sobre como eles podem se inscrever em um serviço gratuito de monitoramento de crédito e proteção contra roubo de identidade por 24 meses por meio da Experian.
Veja isso
Nissan confirma ciberataque que expôs dados de 100 mil pessoas
Nissan restaura sistemas após ataque cibernético
A Nissan tem sido alvo de vários incidentes de segurança ao longo dos últimos anos, que afetaram diversas divisões da montadora japonesa de automóveis. No início de dezembro de 2023, a Nissan Oceania — Austrália e Nova Zelândia — anunciou uma investigação sobre um ataque cibernético e potencial violação de dados.
Em março deste ano, a Nissan confirmou que o ransomware Akira roubou dados pertencentes a 100 mil de seus clientes. Em janeiro de 2023, a Nissan North America sofreu uma violação indireta quando um provedor de serviços de tecnologia terceirizado expôs os dados de 17.988 clientes devido a um banco de dados mal configurado. Dois anos antes, a Nissan North America deixou online um repositório de servidor Git exposto usando credenciais padrão (admin/admin), expondo 20 GB de código-fonte para aplicativos e ferramentas internas.
Para acessar o comunicado encaminhado na terça-feira aos funcionários afetados pela violação clique aqui.
