Tienduizenden Nissan-klanten getroffen door Red Hat-datalek
Wat de link is tussen Nissan en Red Hat? De autofabrikant liet door Red Hat een CRM-systeem (Customer Relationship Management) ontwikkelen voor zijn saleskantoren. In dat systeem worden klantgegevens opgeslagen, zoals namen en adresgegevens. Het gaat om data die nu vermoedelijk op straat liggen.
Er is vooralsnog wel ‘goed’ nieuws, of toch zeker voor Nissan-klanten buiten Japan. Volgens de fabrikant zijn alleen gegevens van 21.000 Japanse klanten gelekt. Het gaat om klanten die recent een auto aanschaften of hun wagen binnenbrachten voor onderhoud bij een Nissan-dealer in Fukuoka, Japan.
Onder de buitgemaakte gegevens vallen namen, adressen, telefoonnummers, e-mailadressen en “andere klantgegevens die worden gebruikt bij verkoopactiviteiten”. Financiële gegevens zijn, zo benadrukt de multinational, niet betrokken bij het datalek en stonden waarschijnlijk ook niet opgeslagen in de systemen van Red Hat.
Gigantisch Red Hat-datalek
Opmerkelijk is wel dat Nissan zijn klanten nu pas informeert over het datalek. De grootschalige aanval op servers van Red Hat werd al in september bekendgemaakt. De hackers claimden toen 1 TB aan gegevens van zakelijke klanten te hebben gestolen. Analyse door beveiligingsonderzoeker Kevin Beaumont wees bovendien uit dat meer dan 5.000 high-profile Red Hat-klanten betrokken zijn bij het lek.
De gegevens konden specifiek uitlekken via private GitLab-omgevingen. In de Red Hat-code binnen 28.000 GitLab-omgevingen vonden de hackers authenticatietokens, volledige database-URI’s en andere gevoelige informatie. Daarmee kregen ze toegang tot de infrastructuur van klanten en mogelijk ook tot aanvullende gevoelige data.
Nissan benadrukt tot slot dat er vooralsnog geen bewijs is dat de gelekte klantgegevens zijn misbruikt. Voor Europese klanten lijkt er niets aan de hand, al heeft het bedrijf dat nog niet expliciet bevestigd.
