Potrivit The Record from Recorded Future News, un grup de hackeri a revendicat aceasta saptamana spargerea sistemului de transfer de fisiere utilizat de o companie care ofera servicii retelelor de dealeri Nissan si Infiniti din America de Nord. Incidentul ridica semne de intrebare serioase despre lantul de incredere dintre marile corporatii si furnizorii lor de servicii IT, un vector de atac din ce in ce mai exploatat la nivel global.
Nissan a raspuns public afirmand ca nu exista indicii ca informatiile clientilor ar fi fost accesate sau puse in pericol. Cu toate acestea, compania a confirmat indirect breса de securitate recunoscand ca datele compromise provin de la un furnizor tert, nu din sistemele proprii. Aceasta distinctie, desi importanta din punct de vedere al responsabilitatii legale, nu elimina riscul real la care pot fi expusi clientii finali ai dealerilor afiliati.
Atacurile asupra furnizorilor externi, cunoscute in jargonul de securitate drept ‘supply chain attacks’, au devenit una dintre metodele preferate ale grupurilor de hackeri tocmai pentru ca permit accesul indirect la date valoroase ale unor companii mari, ocolind masurile de securitate mai robuste ale acestora. In cazul de fata, sistemul de transfer de fisiere vizat reprezenta un punct nodal intre furnizor si reteaua extinsa de dealeri, ceea ce inseamna ca volumul de date potentail expuse poate fi semnificativ.
Cazul Nissan ilustreaza o tendinta ingrijoratoare documentata in rapoarte internationale de securitate cibernetica: marile companii investesc masiv in protejarea infrastructurii proprii, insa raman vulnerabile prin partenerii si furnizorii cu standarde de securitate mai scazute. Pana la finalizarea investigatiei, amploarea reala a bresei si identitatea grupului de hackeri responsabil raman necunoscute public.