Nach Angaben von Nissan beschränkt sich der mutmaßliche Datendiebstahl auf einen externen Dienstleister. Ein Sprecher des Autoherstellers bestätigte, dem Unternehmen sei ein Cybervorfall bekannt, der einen nicht näher bezeichneten Anbieter in diesem Jahr betroffen habe.
Die Angreifergruppe Everest hatte in dieser Woche erklärt, in das Dateiübertragungssystem eines Unternehmens eingedrungen zu sein, das Dienste für Nissan- und Infiniti-Händler in ganz Nordamerika erbringt. Laut eigener Darstellung erbeutete die Gruppe 910 Gigabyte an Daten – darunter Informationen zu Kunden, Händlern sowie zu Krediten, die Autokäufern angeboten wurden.
Eine Untersuchung des Vorfalls habe ergeben, dass dieser auf den Dienstleister und die ihm überlassenen Informationen begrenzt gewesen sei, so der Sprecher. “Wir haben keinen Hinweis darauf gefunden, dass Nissan-Systeme kompromittiert wurden oder dass auf Kundendaten von Nissan zugegriffen oder diese gefährdet wurden. Wir arbeiten eng mit dem Anbieter zusammen, während dieser seine Untersuchung abschließt”, erklärte er.
Die Gruppe gab an, den Angriff im Januar durchgeführt und damals versucht zu haben, Nissan zu erpressen – ohne Erfolg, da sich das Unternehmen nicht auf eine Lösegeldzahlung für die Daten einließ. In ihrem Beitrag vom Mittwoch drohte Everest dem Unternehmen weiter und stellte unbestätigte Behauptungen über gescheiterte Verhandlungen zwischen beiden Seiten auf. Die Veröffentlichung der gestohlenen Daten kündigte die Gruppe für Freitag an.
Nissan war in den vergangenen Jahren bereits von mehreren Sicherheitsvorfällen betroffen. Datenlecks in den Jahren 2022 und 2023 legten die Informationen von 22.000 beziehungsweise 53.000 Personen offen. Bei einem Cyberangriff im Jahr 2024 wurden die persönlichen Daten von rund 100.000 Kunden und Beschäftigten in Australien und Neuseeland offengelegt.
Trotz finanzieller Schwierigkeiten zählt Nissan weiterhin zu den größten Autoherstellern der Welt und meldete für 2024 einen Nettoumsatz von 79 Milliarden US-Dollar.
