Nissan led et datainnbrudd i november i fjor i et løsepengevareangrep som avslørte personnummeret til tusenvis av tidligere og nåværende ansatte, sa den japanske bilprodusenten onsdag.
Nissans USA-baserte datterselskap, Nissan North America, beskrev cyberangrepet i en 15. mai brev til berørte individer. I brevet sa Nissan North America at en dårlig skuespiller angrep et firmas virtuelle private nettverk og krevde betaling. Nissan oppga ikke om de betalte løsepenger.
«(E) etter at Nissan fikk vite om angrepet, varslet Nissan umiddelbart politiet og begynte å iverksette umiddelbare tiltak for å undersøke, inneholde og lykkes med å avslutte trusselen,» sa bilprodusenten i brevet, og la til at «Nissan jobbet veldig tett med eksterne cybersikkerhetseksperter erfaring med å håndtere denne typen komplekse sikkerhetshendelser.»
Nissan fortalte ansatte om hendelsen under et rådhusmøte i desember 2023, en måned etter angrepet. Selskapet fortalte også ansatte at det startet en etterforskning og ville varsle ansatte privat hvis deres personlige opplysninger var blitt kompromittert. Nissan sa at de tilbyr gratis beskyttelse mot identitetstyveri til berørte personer i to år.
Nissan Nord-Amerika også varslet statlige tjenestemenn over hele USA av angrepet, og bemerket at data tilhørende mer enn 53 000 nåværende og tidligere arbeidere ble kompromittert. Men selskapet sa undersøkelsen fant at berørte personer ikke hadde sin økonomiske informasjon eksponert.
Nissan North America «har ingen indikasjoner på at noen informasjon har blitt misbrukt eller var angrepets tiltenkte mål», sa bilprodusenten i sitt brev.
Ransomware-angrep, der cyberkriminelle deaktiver et måls datasystemer eller stjele data og deretter kreve betaling for å gjenopprette tjenesten, har blitt stadig mer vanlig. En ekspert på nettsikkerhet sa at noen sannsynligvis har fått et passord eller en multifaktorautentiseringskode fra en eksisterende Nissan-ansatt, noe som gjør det mulig for hackeren å komme inn via selskapets VPN.
«Det er uheldig at bruddet endte opp med å involvere personlig informasjon, men Nissan har gjort det rette ved å fortsette å undersøke hendelsen og rapportere oppdateringen,» sa Erich Kron, en talsmann for cybersikkerhetsbevissthet hos KnowBe4, til CBS MoneyWatch i en e-postmelding. «I dette tilfellet vil målretting av VPN ofte hjelpe dårlige aktører med å unngå oppdagelse og omgå mange av de organisatoriske sikkerhetskontrollene som er på plass.»
