Nissan'dan Veri Sızıntısı Açıklaması: Oracle Zero-Day Zafiyeti Çalışan Bilgilerini Çaldı Windows

Nissan'dan Veri Sızıntısı Açıklaması: Oracle Zero-Day Zafiyeti Çalışan Bilgilerini Çaldı

Nissan, Oracle PeopleSoft'taki zero-day zafiyetinin kullanıldığı bir saldırıda çalışanların Sosyal Güvenlik numaraları, banka hesapları ve vergi kayıt

Japon otomobil devi Nissan, Oracle'ın PeopleSoft yazılımındaki keşfedilmemiş bir güvenlik açığının (zero-day) hedef alınmasıyla mevcut ve eski çalışanlarına ait hassas kişisel verilerin çalındığını duyurdu. Şirket, 26 Haziran'da yayımladığı bildirimde, Oracle'ın yüzlerce şirketi etkileyen bir siber olay için kendilerini uyardığını ve Nissan'ın özel olarak hedef alındığını belirtti. Saldırının, ABD, Kanada, Meksika ve Brezilya'daki çalışanları etkilediği düşünülüyor. Çalınan veriler arasında Sosyal Güvenlik numaraları, ulusal kimlik numaraları, banka hesap bilgileri, finansal veriler, vergi kayıtları ve bakmakla yükümlü olunan kişilere ait bilgiler yer alıyor.

Nissan'ın açıklamasına göre saldırganlar, şirketin maaş bordrosu ve insan kaynakları işlemlerinde kullandığı Oracle PeopleSoft yazılımındaki bilinmeyen bir güvenlik açığını kullandı. Bu açık, CVE-2026-35273 olarak izlenen ve kritik seviyede bir uzaktan kod çalıştırma (RCE) zafiyetiydi. Saldırı, ShinyHunters fidye yazılımı grubuna bağlanıyor; grup, çoğunluğu üniversiteler olmak üzere 100'den fazla kuruluşu hedef aldığını iddia ediyor. Oracle, saldırılar başladıktan sonra olağan dışı bir güvenlik danışmanlığı ve hafifletme önlemleri yayımladı. Nissan'ın başvurusuna göre saldırı, kampanyanın yürütüldüğü 27 Mayıs ile 9 Haziran arasında gerçekleşti.

Veri sızıntısı yalnızca Sosyal Güvenlik numaraları ve ulusal kimlik bilgileriyle sınırlı kalmadı. Nissan, iletişim bilgileri, banka detayları, finansal ve vergi verileri ile bakmakla yükümlü olunan kişilere ait kayıtların da tehlikeye girdiğini bildirdi. Şirket, sistemlerini güvence altına aldığını, Oracle ile koordinasyon içinde çalıştığını ve etkilenen çalışanlara ücretsiz kredi izleme veya karanlık ağ izleme hizmeti sunacağını duyurdu.

Detaylar ve Etkileri

Önlem olarak Nissan, maaş bordrosuna erişimi kısıtladı; çalışanların maaş bordrolarını görüntülemek veya banka hesap bilgilerini değiştirmek için artık bir ağ bilgisayarı veya güvenli VPN kullanmaları gerekiyor. Ayrıca, maaş bordrosu taleplerini işleme koymadan önce ek kimlik doğrulama kontrolleri uygulamaya başladı. Şirket, çalışanları oltalama saldırılarına karşı dikkatli olmaya, kullanılmış şifreleri değiştirmeye ve çok faktörlü kimlik doğrulama (MFA) etkinleştirmeye çağırdı.

Veri güvenliği firması Certes'in CTO'su Simon Pamplin, bu olayı 'yüzlerce ilgisiz kuruluşu etkileyen kitlesel bir kayıp olayı' olarak nitelendirdi ve zafiyetin yamamlanmasının, zaten çalınmış veriler için bir fayda sağlamayacağı uyarısında bulundu. Nissan, soruşturmasının devam ettiğini ve etkilenen kişilerle doğrudan iletişime geçileceğini belirtti. Bu olay, kurumsal yazılımlardaki zero-day zafiyetlerinin ne kadar geniş çaplı sonuçlar doğurabileceğini ve şirketlerin tedarik zinciri güvenliğine daha fazla önem vermesi gerektiğini bir kez daha gözler önüne seriyor.

Kaynak: infosecurity-magazine.com

Paylaş: