日本の自動車メーカー日産は、レッドハットのコンサルティングチームが使用していた自己管理型GitLabインスタンスに関わるデータ侵害の影響を開示した。
日産のデータ侵害につながったこのインシデントは9月下旬に発生し、サンプルコード断片、社内コミュニケーション、プロジェクト仕様を含むGitLabインスタンスへの不正なアクセスが関与していた。
Crimson Collectiveと名乗るハッキンググループは、レッドハットに対して恐喝を試み、28,000の非公開リポジトリから圧縮データ570GBを盗み出したと主張した。そこには、レッドハットの顧客インフラへのアクセスを提供したとされる情報も含まれていたという。
日産は今回、レッドハットのインスタンスから盗まれたデータの一部に、日産福岡販売(旧・福岡日産自動車)の顧客21,000人分の個人情報が含まれていたと述べている。
同社によれば、個人情報には氏名、住所、電話番号、メールアドレスの一部、ならびに販売活動に使用される情報が含まれるという。
クレジットカード情報は盗まれておらず、侵害されたリポジトリには他の顧客情報は保存されていなかったと日産は述べている。
同社によると、攻撃発生からおよそ1週間後の10月3日に、レッドハットから本件の通知を受けたという。
「日産は、販売会社向け顧客管理システムの開発を委託していたRedHatから、同社のデータサーバーに不正アクセスがありデータが漏えいしたとの報告を受けました」と、日産のインシデント告知の自動翻訳には記されている。
日本の同社は、関係当局に本件を報告しており、データ侵害の影響を受けた個人への通知も進めているとしている。
また日産は、盗まれた情報が脅威アクターによって「二重に使用された」可能性があるとの報道については確認できなかったとも指摘している。
翻訳元: https://www.securityweek.com/nissan-confirms-impact-from-red-hat-data-breach/
