Η Mazda Motor Corporation αποκάλυψε επίσημα ένα περιστατικό ασφαλείας που αφορούσε μη εξουσιοδοτημένη εξωτερική πρόσβαση σε ένα εσωτερικό σύστημα διαχείρισης αποθήκης, εκθέτοντας ενδεχομένως 692 αρχεία προσωπικών δεδομένων εργαζομένων, προσωπικού της εταιρείας του ομίλου και επιχειρηματικών συνεργατών.
Η ιαπωνική αυτοκινητοβιομηχανία δημοσίευσε την επίσημη ειδοποίησή της για παραβίαση στις 19 Μαρτίου 2026, αποκαλύπτοντας ότι η εισβολή είχε εντοπιστεί για πρώτη φορά στα μέσα Δεκεμβρίου 2025.
Το παραβιασμένο σύστημα χρησιμοποιήθηκε ειδικά για τη διαχείριση εργασιών αποθήκης για ανταλλακτικά αυτοκινήτων που προμηθεύονταν από την Ταϊλάνδη και η εταιρεία επιβεβαίωσε ότι ένας παράγοντας εξωτερικής απειλής εκμεταλλεύτηκε υπάρχουσες ευπάθειες ασφαλείας για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση.
Το περιστατικό εντοπίστηκε εσωτερικά στα μέσα Δεκεμβρίου 2025, αν και η δημόσια ειδοποίηση ήρθε περίπου τρεις μήνες αργότερα, στις 19 Μαρτίου 2026.
Μετά την ανακάλυψη, η Mazda ανέφερε αμέσως το θέμα στην Επιτροπή Προστασίας Προσωπικών Πληροφοριών της Ιαπωνίας, ένα εξωτερικό ρυθμιστικό γραφείο που λειτουργεί υπό το γραφείο του ιαπωνικού υπουργικού συμβουλίου και ξεκίνησε παράλληλη έρευνα σε συνεργασία με έναν εξωτερικό εξειδικευμένο οργανισμό στον τομέα της κυβερνοασφάλειας.
Η καθυστερημένη δημόσια αποκάλυψη ευθυγραμμίζεται με το χρονοδιάγραμμα που απαιτείται για την ιατροδικαστική έρευνα και τη συμμόρφωση με τους κανονισμούς βάσει του νόμου της Ιαπωνίας για την προστασία των προσωπικών πληροφοριών (APPI).
Εκτεθειμένα δεδομένα
Η βασική αιτία της παραβίασης αναγνωρίστηκε ως η εκμετάλλευση μη επιδιορθωμένων τρωτών σημείων ασφαλείας στην πλατφόρμα διαχείρισης αποθήκης.
Το μη εξουσιοδοτημένο τρίτο μέρος αξιοποίησε αυτές τις αδυναμίες για να αποκτήσει πρόσβαση σε ένα τμήμα των αποθηκευμένων δεδομένων, αν και η πλήρης τεχνική φύση της ευπάθειας είτε πρόκειται για έγχυση SQL, παράκαμψη ελέγχου ταυτότητας είτε ελάττωμα απομακρυσμένης εκτέλεσης κώδικα δεν έχει καθοριστεί δημόσια. Η παραβίαση έχει επιβεβαιωθεί ότι επηρέασε 692 αρχεία, με τις ακόλουθες κατηγορίες προσωπικών δεδομένων να εκτίθενται δυνητικά:
| Κατηγορία Δεδομένων | Καθέκαστα |
|---|---|
| Αναγνωριστικά χρήστη | Αναγνωριστικά που εκδίδονται από την εταιρεία |
| Πλήρη ονόματα | Ονόματα εργαζομένων και συνεργατών |
| Διευθύνσεις email | Εταιρικοί λογαριασμοί email |
| Ονόματα εταιρειών | Οργανωτικές σχέσεις |
| Ταυτότητες επιχειρηματικών συνεργατών | Αναγνωριστικά προμηθευτή/συνεργάτη |
Συγκεκριμένα, δεν αποθηκεύτηκαν προσωπικά στοιχεία πελατών στο επηρεαζόμενο σύστημα, εξαλείφοντας τον κίνδυνο έκθεσης σε δεδομένα καταναλωτών.
Ενώ η Mazda επιβεβαίωσε ότι δεν έχει παρατηρηθεί δευτερεύουσα ζημιά μέχρι σήμερα, η εταιρεία προειδοποίησε ρητά τα επηρεαζόμενα άτομα για κίνδυνο κατάντη. Τα εκτεθειμένα στοιχεία δεδομένων, ιδίως τα ονόματα, οι εταιρικές διευθύνσεις email και οι εταιρικές σχέσεις δημιουργούν μια αξιόπιστη επιφάνεια επίθεσης για εκστρατείες ψαρέματος με δόρυ, παραβίαση επιχειρηματικών email (BEC) και στοχευμένες λειτουργίες ανεπιθύμητης αλληλογραφίας.
Τα επηρεαζόμενα άτομα έχουν λάβει συμβουλές να αντιμετωπίζουν κάθε ύποπτη επικοινωνία που ισχυρίζεται ότι προέρχεται από τη Mazda ή συνδεδεμένες οντότητες με εξαιρετική προσοχή και να αποφεύγουν να κάνουν κλικ σε ενσωματωμένους συνδέσμους ή να ανοίγουν συνημμένα.
Ως απάντηση στο περιστατικό, η Mazda έχει αναλάβει πολλά μέτρα αποκατάστασης για να σκληρύνει το επηρεασμένο περιβάλλον. Αυτά περιλαμβάνουν την αναθεώρηση της αρχιτεκτονικής του συστήματος για την ελαχιστοποίηση της επικοινωνίας μέσω Διαδικτύου, τον περιορισμό της πρόσβασης στις περιοχές IP πηγής, την έγκαιρη εφαρμογή εξαιρετικών ενημερώσεων κώδικα ασφαλείας και την ανάπτυξη βελτιωμένης παρακολούθησης πρόσβασης για έγκαιρο εντοπισμό ανώμαλων δραστηριοτήτων.
Η εταιρεία έχει επίσης δεσμευτεί να επεκτείνει αυτές τις βελτιώσεις ασφάλειας σε παρόμοια λειτουργικά συστήματα σε όλη την υποδομή της για την αποφυγή επανάληψης.
