Nissan Motor Co. meldde maandag dat de persoonsgegevens van ongeveer 21.000 klanten zijn blootgesteld als gevolg van het datalek bij Red Hat. Dit lek werd al in september ontdekt. Red Hat is verantwoordelijk voor de ontwikkeling en hosting van klantbeheersystemen voor verkoopmaatschappijen van Nissan.
Volgens Nissan kreeg het concern bericht van Red Hat dat onbevoegden toegang hadden gekregen tot dataservers van de Amerikaanse softwareleverancier. Daarbij maakten aanvallers gegevens buit. Later bleek dat de gelekte dataset ook klantinformatie bevatte van Nissan Fukuoka Sales. Dit is een regionale verkooporganisatie in Japan. Het gaat om klanten die in het verleden een voertuig kochten of onderhoud lieten uitvoeren in de regio Fukuoka.
De gelekte informatie omvat volledige namen, fysieke adressen, telefoonnummers, e-mailadressen en aanvullende klantgegevens die worden gebruikt voor verkoop- en marketingdoeleinden. Financiële gegevens, zoals creditcardinformatie, maakten volgens Nissan geen deel uit van het incident. Het bedrijf stelt dat de getroffen Red Hat-omgeving geen andere klantdata bevatte dan de inmiddels bekende gegevens. Er zijn geen aanwijzingen voor misbruik van de informatie.
ShinyHunters viel Red Hat aan
Het datalek bij Red Hat werd begin oktober openbaar gemaakt. Het betrof de diefstal van honderden gigabytes aan gevoelige data uit circa 28.000 private GitLab-repositories. De aanval werd aanvankelijk opgeëist door de dreigingsgroep Crimson Collective. Later publiceerde de bekende cybercriminele groep ShinyHunters voorbeelden van de gestolen data op een eigen afpersingsplatform, waarmee de druk op Red Hat verder werd opgevoerd.
Nissan benadrukt dat het na ontvangst van het rapport van Red Hat direct melding heeft gedaan bij de Japanse toezichthouder voor gegevensbescherming en dat getroffen klanten rechtstreeks zijn geïnformeerd. Tegelijkertijd erkent het concern dat het incident vragen oproept over de beveiliging van uitbestede IT-omgevingen en zegt het extra maatregelen te nemen om het toezicht op externe leveranciers te versterken.
BleepingComputer vroeg Nissan Japan, Nissan Europe en Nissan Americas om aanvullend commentaar. Daar kwam geen reactie op. Het incident bij Red Hat markeert de tweede cyberbeveiligingskwestie voor Nissan Japan dit jaar, na een ransomware-aanval van de Qilin-groep eind augustus die dochterbedrijf Creative Box trof.
Ook internationaal heeft Nissan de afgelopen jaren te maken gehad met meerdere datalekken. In 2024 werden bij Nissan North America de gegevens van circa 53.000 medewerkers blootgesteld, terwijl Nissan Oceania eerder meldde dat een Akira-ransomwareaanval de gegevens van ongeveer 100.000 klanten had gecompromitteerd.