Nissan, mevcut ve eski çalışanlarına ait Sosyal Güvenlik numaraları, banka bilgileri ve vergi kayıtları gibi hassas kişisel verilerin siber saldırıda çalınmış olabileceğini duyurdu. Otomobil üreticisi, saldırganların Oracle'ın PeopleSoft yazılımındaki sıfırıncı gün (zero-day) açığını kullandığını belirtti. 26 Haziran'da yayınlanan ihlal bildirimine göre Oracle, Nissan'ı yüzlerce şirketi etkileyen bir siber olay konusunda uyardı ve Nissan'ın özel olarak hedef alındığı tespit edildi.
Nissan, ihlalin ABD, Kanada, Meksika ve Brezilya'daki mevcut ve eski çalışanları etkilediğini ve ulusal kimlik numaraları ile bağımlı veya lehtar bilgilerinin de açığa çıktığını belirtti. Saldırganların kullandığı güvenlik açığı, CVE-2026-35273 koduyla izlenen kritik bir uzaktan kod yürütme hatasıydı. ShinyHunters fidye grubunun bağlantılı olduğu geniş çaplı kampanyada, çoğu üniversite olmak üzere 100'den fazla kuruluş hedef alındı. Oracle, saldırılar başladıktan sonra olağanüstü bir uyarı ve geçici çözüm yayınladı.
Sosyal Güvenlik ve ulusal kimlik numaralarının yanı sıra, iletişim ve banka bilgileri, mali ve vergi verileri ile bağımlı veya lehtar kayıtları da çalınmış olabilir. Nissan, sistemlerini güvence altına aldığını, Oracle ile çalıştığını ve etkilenen çalışanlara ücretsiz kredi veya karanlık ağ izleme hizmeti sunacağını açıkladı. Önlem olarak, maaş bordrosu erişimi kısıtlandı; çalışanların maaş fişlerini görüntülemek veya doğrudan yatırma bilgilerini değiştirmek için ağ bilgisayarı veya güvenli VPN kullanmaları gerekiyor. Ayrıca ek kimlik kontrolleri getirildi ve çalışanlara çok faktörlü kimlik doğrulamayı etkinleştirmeleri tavsiye edildi.
Sonuç ve Değerlendirme
Veri güvenliği firması Certes'in CTO'su Simon Pamplin, bu olayı 'yüzlerce ilgisiz kuruluşu etkileyen kitlesel bir felaket' olarak nitelendirdi ve açığın kapatılmasının, saldırı penceresi boyunca çalınan veriler için bir şey ifade etmediğini belirtti. Nissan soruşturmanın devam ettiğini ve etkilenen kişilerle doğrudan iletişime geçileceğini bildirdi. Saldırı, kurumsal yazılımlardaki sıfırıncı gün açıklarının ne kadar büyük riskler oluşturabileceğini bir kez daha gözler önüne serdi.