Nissan North America rozpoczął informowanie o naruszeniu danych 18 000 klientów u zewnętrznego dostawcy usług, które spowodowało wyciek wrażliwych danych. Szkoda tylko, że zaczął robić to prawie 6 miesięcy od incydentu.
Niebezpieczne testy
Nissan ujawnił naruszenie danych, które dotknęło blisko 18 tys. klientów firmy. Zgodnie z zawiadomieniem dane użytkowników wyciekły za pośrednictwem zewnętrznego dostawcy, który świadczył usługi rozwoju oprogramowania dla producenta samochodów.
Według firmy, ujawnione dane zawierały nazwiska użytkowników Nissana, daty urodzenia oraz numer Nissan Motor Acceptance Company (NMAC).
Pierwsza informacja o wycieku pojawiła się 21 czerwca 2022 roku. Trzy miesiące później, 26 września 2022 roku, śledztwo firmy potwierdziło, że w wyniku incydentu doszło do nieautoryzowanego dostępu do danych użytkowników.
“Dane osadzone w kodzie podczas testowania oprogramowania zostały nieumyślnie i tymczasowo zapisane w publicznym repozytorium w chmurze. Informacje te nie zawierały numeru ubezpieczenia społecznego użytkownika ani informacji o karcie kredytowej” – przekazał Nissan.
Wolne tempo
Mimo że Nissan po raz pierwszy dowiedział się o naruszeniu pod koniec czerwca, firma ujawniła incydent dopiero 16 stycznia 2023 roku, czyli prawie sześć miesięcy później. Ospałe zachowanie Nissana to niestety jedna ze złych praktyk, którą naśladuje wiele innych firm. Niestety praktyka pokazuje, że nawet wielcy giganci zwlekają z poinformowaniem ludzi, że ktoś wykradł ich dane.
Na przykład Five Guys, popularna amerykańska sieć fast-foodów, potrzebowała prawie trzech miesięcy, aby poinformować swoich pracowników o tym, że nieupoważnione osoby mogły uzyskać dostęp do ich wrażliwych danych, takich jak numery ubezpieczenia społecznego (SSN).
Eksperci od cyberbezpieczeństwa krytykują firmy za to, że potrzebują miesięcy, aby powiadomić klientów o tym, że ich dane wyciekły do sieci. Podczas gdy firmy, których dane zostały naruszone, prowadzą wewnętrzne dochodzenia, aktorzy zagrożeń mogą wykorzystywać pozyskane dane do przeprowadzania bardzo różnych ataków.
“To kolejny incydent, w którym napastnikom udało się naruszyć sieć organizacji, a ofiary których dane zostały skradzione, zostały poinformowane dopiero po kilku miesiącach. W ten sposób zaoferowano napastnikom dużo czasu na wykorzystanie tych informacji do popełnienia oszustw kredytowych i tożsamościowych” – powiedziała Julia O’Toole, dyrektor generalna firmy cyberbezpieczeństwa MyCena Security Solutions o naruszeniu danych Five Guys.
Jeśli chcesz uniknąć tego typu incydentów w swojej firmie i zależy Ci nam tym, aby jak najskuteczniej chronić nie tylko dane firmy, a i Twoich klientów, skontaktuj się z naszymi ekspertami już dziś!