A Nissan confirmou que informações obtidas em um recente ataque cibernético estavam vinculadas a um fornecedor terceirizado, após o grupo de ransomware Everest assumir a autoria da invasão. Segundo a montadora japonesa, o incidente ocorreu em janeiro e ficou restrito ao ambiente tecnológico do parceiro comercial, sem qualquer evidência de comprometimento direto dos sistemas internos da companhia.
De acordo com os criminosos, o acesso teria sido obtido por meio do ambiente GCSSD do fornecedor, explorando falhas básicas de segurança, como credenciais expostas e a ausência de autenticação multifator (MFA). Informações divulgadas pelo perfil Hackmanac, na plataforma X, indicam que cerca de 910 GB de dados foram extraídos, um volume que corresponderia a mais de 180 mil arquivos e até 2,5 milhões de registros. Entre os materiais acessados estariam dados de clientes, contratos de financiamento, informações de concessionárias e registros operacionais.
Em posicionamento enviado ao portal The Record, a Nissan afirmou que não há indícios de que seus próprios sistemas tenham sido invadidos ou de que dados de clientes diretamente vinculados à montadora tenham sido comprometidos. A empresa também ressaltou que segue trabalhando em conjunto com o fornecedor afetado, enquanto as investigações continuam.
Apesar da contenção do incidente, o grupo Everest declarou ter tentado extorquir a empresa ainda em janeiro, sem sucesso, e ameaçou divulgar os dados obtidos. O episódio reforça um padrão crescente de ataques à cadeia de suprimentos, estratégia cada vez mais utilizada por cibercriminosos para atingir grandes corporações por meio de parceiros com menor maturidade em segurança.
Casos semelhantes têm se tornado frequentes no cenário global. Em 2023, a Toyota também enfrentou interrupções em suas operações no Japão após um ataque a um fornecedor crítico, o que levou à paralisação temporária de linhas de produção. Já a MoveIt, plataforma amplamente utilizada para transferência de arquivos corporativos, foi explorada por grupos criminosos em uma vulnerabilidade que resultou no vazamento de dados de centenas de empresas ao redor do mundo.
A própria Nissan acumula um histórico recente de incidentes de segurança. Entre 2022 e 2024, a montadora registrou vazamentos que afetaram dezenas de milhares de clientes em regiões como Austrália, Nova Zelândia e América do Norte e Sul. Esses episódios evidenciam um desafio recorrente: mesmo com investimentos robustos em cibersegurança, empresas globais continuam expostas a riscos indiretos provenientes de terceiros.
O caso reforça a importância de políticas rigorosas de gestão de fornecedores, especialmente no que diz respeito à proteção de dados e ao cumprimento de requisitos mínimos de segurança, como controle de acessos, uso de MFA e monitoramento contínuo. Em um cenário cada vez mais interconectado, a segurança da informação deixa de ser um tema restrito às grandes empresas e passa a depender diretamente da solidez de toda a sua cadeia de parceiros.
O fato do incidente ter ocorrido em um fornecedor, o que a Lei Geral de Proteção de Dados chama de Operador, reforça ainda mais o cuidado que as empresas devem ter no sentido de se adequar à Lei Geral de Proteção de Dados.
O artigo 39, da LGPD é claro:
“O operador deverá realizar o tratamento segundo as instruções fornecidas pelo controlador, que verificará a observância das próprias instruções e das normas sobre a matéria.”
Isso significa que o Controlador, empresas Contratante, tem o dever legal de observar, monitorar, se seus fornecedores estão cumprindo as regras sobre proteção de dados pessoais.
