1月16日消息，日產(chǎn)汽車(chē)北美公司向客戶(hù)發(fā)送數(shù)據(jù)泄露通知，告知第三方服務(wù)提供商發(fā)生泄露客戶(hù)信息事件，約17998名客戶(hù)受到了影響。泄露的客戶(hù)數(shù)據(jù)包括全名、出生日期和NMAC賬號(hào)（日產(chǎn)金融賬戶(hù)）。

日產(chǎn)汽車(chē)稱(chēng)其于2022年6月21日收到了軟件開(kāi)發(fā)供應(yīng)商的數(shù)據(jù)泄露通知。該第三方供應(yīng)商接收日產(chǎn)汽車(chē)客戶(hù)數(shù)據(jù)，為其開(kāi)發(fā)和測(cè)試軟件解決方案，由于數(shù)據(jù)庫(kù)配置不當(dāng)造成數(shù)據(jù)泄露。

日產(chǎn)汽車(chē)收到泄露通知后展開(kāi)了內(nèi)部調(diào)查，2022年9月26日，它證實(shí)了一個(gè)未經(jīng)授權(quán)的訪問(wèn)者觸及了這些數(shù)據(jù)。

公告中寫(xiě)道，“經(jīng)過(guò)調(diào)查，在軟件測(cè)試期間嵌入在代碼中的數(shù)據(jù)，無(wú)意中臨時(shí)存儲(chǔ)在云公共存儲(chǔ)庫(kù)。”但是，該通知澄清，被泄露的信息不包括信用卡信息或社會(huì)安全號(hào)碼。

日產(chǎn)汽車(chē)表示，到目前為止沒(méi)有任何證據(jù)表明這些暴露的信息被濫用，通知客戶(hù)僅是出于謹(jǐn)慎。此外，所有收到違規(guī)通知的人都將獲得一年的身份保護(hù)服務(wù)會(huì)員資格。

2021年1月，日產(chǎn)汽車(chē)北美公司經(jīng)歷了類(lèi)似的事件，一臺(tái)Git服務(wù)器在線暴露，并使用默認(rèn)訪問(wèn)憑據(jù)，導(dǎo)致該公司的幾個(gè)存儲(chǔ)庫(kù)公開(kāi)。

此次事件導(dǎo)致20 GB的數(shù)據(jù)泄露，包括移動(dòng)應(yīng)用程序和內(nèi)部工具源代碼、市場(chǎng)研究和客戶(hù)收購(gòu)數(shù)據(jù)、診斷和NissanConnect服務(wù)細(xì)節(jié)。

除了日產(chǎn)汽車(chē)，其他日本汽車(chē)制造商也發(fā)生過(guò)數(shù)據(jù)泄露事件。2022年10月，豐田近30萬(wàn)客戶(hù)的個(gè)人信息被泄露，因?yàn)橐粋€(gè)包含該公司數(shù)據(jù)庫(kù)訪問(wèn)密鑰的GitHub存儲(chǔ)庫(kù)對(duì)公眾開(kāi)放了五年。

此外，安全媒體城，日產(chǎn)汽車(chē)和其他汽車(chē)制造商的移動(dòng)應(yīng)用程序和在線門(mén)戶(hù)網(wǎng)站的API安全措施十分糟糕，可能導(dǎo)致賬戶(hù)接管和敏感信息暴露。

參考鏈接：https://www.bleepingcomputer.com/news/security/nissan-north-america-data-breach-caused-by-vendor-exposed-database/