Mazda zufolge geht die Datenpanne auf einen unbefugten Zugriff durch Dritte zurück, die Sicherheitslücken in einem für den Geschäftsbetrieb genutzten System ausnutzten. Betroffen war das Verwaltungssystem für die Lagerlogistik von Teilen, die der Konzern aus Thailand bezieht. Der Vorfall wurde nach Unternehmensangaben Mitte Dezember entdeckt.

Insgesamt wurden 692 Datensätze kompromittiert. Die offengelegten Informationen umfassen vom Unternehmen ausgegebene Benutzer-IDs, Namen, E-Mail-Adressen, Firmennamen sowie Geschäftspartner-IDs. Die Daten gehören Beschäftigten von Mazda und seinen Konzerngesellschaften sowie Geschäftspartnern.

Kundendaten seien nicht betroffen, betont der Hersteller: Diese Art von Daten werde in dem angegriffenen System nicht gespeichert, weshalb eine Beeinträchtigung ausgeschlossen sei. Zur ausgenutzten Schwachstelle blieb Mazda vage – das Unternehmen benannte weder die betroffene Software noch die konkret ausgenutzten Fehler.

Bereits im November hatte Mazda gegenüber SecurityWeek bestätigt, ins Visier der Angriffskampagne gegen die Oracle E-Business Suite (EBS) geraten zu sein. Damals erklärte der Konzern allerdings, keine Hinweise auf einen Datenabfluss gefunden zu haben.

Nach eigenen Angaben meldete Mazda die nun bekannt gewordene Datenpanne den zuständigen Behörden. Zudem spielte das Unternehmen umgehend Sicherheitspatches ein, überarbeitete seine Zugriffsrichtlinien und die Zugriffsüberwachung und schränkte den Internetzugang ein.

Bislang seien keine Folgeschäden festgestellt worden. Mazda warnt jedoch, die offengelegten personenbezogenen Daten könnten künftig missbraucht werden – etwa für Phishing-Betrug oder Spam-E-Mails. Bei verdächtigen Nachrichten rät das Unternehmen zur Vorsicht. SecurityWeek hat Mazda um weitere Informationen zu dem Vorfall gebeten.