Trendy úniků a ztrát osobních údajů v roce 2019 (v roce Heisei 31 / 2019)

Podle Tokijského obchodního výzkumu v roce 2019 (Gregoriánský kalendář) oznámilo 66 veřejně obchodovaných společností a jejich dceřiných společností úniky a ztráty osobních údajů. Počet incidentů dosáhl 86 a počet uniklých osobních údajů dosáhl 9 031 734. V roce 2019 došlo ke dvěma velkým incidentům, při kterých uniklo více než milion osobních údajů. Platební služba “7pay” (Seven Pay), kterou zavedla velká distribuční společnost Seven & I Holdings, byla nucena ukončit své služby kvůli neoprávněnému využití. Byl to rok, kdy byla důležitost bezpečnostních opatření znovu zdůrazněna.

Případ “Taku Fairu Bin”

22. ledna 2019 bylo odhaleno únik informací v rámci služby pro přenos souborů “Taku Fairu Bin”, kterou provozovala společnost Ojis Soken, 100% dceřiná společnost společnosti Osaka Gas. Byl objeven podezřelý soubor na serveru, což vedlo k odhalení úniku informací. Po dalším vyšetřování byly zjištěny podezřelé přístupové záznamy a 23. ledna byla služba zastavena jako preventivní opatření proti dalším škodám. První zpráva byla vydána a 25. ledna byl potvrzen únik informací.

Počet úniků dosáhl 4 815 399 (platící členové: 22 569, bezplatní členové: 4 753 290, bývalí členové: 42 501), a obsahoval jména, e-mailové adresy pro přihlášení, hesla pro přihlášení, datum narození, pohlaví, povolání / obor / pozice a název prefektury bydliště. Tento počet úniků je druhý nejvyšší v historii, hned po úniku osobních informací 35,04 milionu zákazníků způsobeném neoprávněným získáním informací zaměstnancem na zakázku v roce 2014 v Benesse.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Po tomto incidentu Ojis Soken provedl kontrolu a posílení bezpečnosti a zvažoval obnovu, ale nebylo možné předvídat rekonstrukci systému, a tak bylo 14. ledna 2020 oznámeno, že služba bude ukončena k 31. březnu 2020.

Pokud používáte e-mailovou adresu a heslo zaregistrované v “Taku Fairu Bin” a stejné uživatelské ID (e-mailovou adresu) a heslo pro přihlášení k jiným webovým službám, existuje riziko, že osoba, která získala uniklé informace, se může neoprávněně přihlásit k těmto webovým službám, což je takzvaný “převlek”.

Případ společnosti Toyota Mobility

Toyota Mobility, prodejní dceřiná společnost automobilky Toyota, byla 21. března 2019 (rok 31 Heisei) napadena kybernetickým útokem. Bylo oznámeno, že bylo cílem útoku celkem osm prodejních společností se společnou systémovou infrastrukturou a z jejich síťových serverů mohlo uniknout až 3,1 milionu osobních údajů. Naštěstí bylo oznámeno, že nebyly unikly informace o kreditních kartách, takže pravděpodobnost přímého finančního problému je malá. Nicméně, jedná se o informace o zákaznících, kteří si koupili auto, takže je možné, že by mohly být obchodovány za vysoké ceny mezi seznamovými agenturami a škoda nemusí být omezena.

Toyota Mobility, přestože získala japonský “Privacy Mark” (P-Mark), se nyní musí vypořádat s důležitými rozhodnutími ohledně budoucích bezpečnostních opatření, protože došlo k tomuto problému s únikem osobních údajů. Tento únik osobních údajů také dokazuje, že dosavadní bezpečnostní opatření nebyly schopné ho zabránit. Bude třeba dosáhnout systému řízení ochrany osobních údajů na vyšší úrovni než systém zabezpečení, který získal “Privacy Mark” (P-Mark).

Podobně jako v případě společnosti Benesse, pokud bude systém řízení ochrany osobních údajů v budoucnu považován za nedostatečný, může dojít k zániku “Privacy Mark” (P-Mark). Pokud “Privacy Mark” (P-Mark) zanikne, existuje riziko ztráty důvěry, což je velký problém.

Případ „7pay“

Platební služba „7pay“, kterou zavedla společnost Seven & I Holdings, odhalila podvodné využití poté, co bylo provedeno interní vyšetřování 3. července 2019 (rok 2019 podle gregoriánského kalendáře), den po zahájení služby, kdy se uživatelé obrátili na společnost s dotazy o transakcích, které si nepamatují.

Okamžitě bylo pozastaveno dobíjení z kreditních a debetních karet a od 4. července byla dočasně pozastavena i nová registrace do služby. Téhož dne bylo rozhodnuto o dočasném zastavení všech dobíjení.

Bylo oznámeno, že počet obětí podvodného přístupu je 808 a škoda činí 38 615 473 jenů. Bylo uvedeno, že metoda podvodného přístupu pravděpodobně spočívala v tzv. listovém útoku. Listový útok je metoda, při které se mechanicky zadávají ID a hesla, která byla v minulosti unikla na internet z jiných společností. Tato metoda byla pravděpodobně použita alespoň desítky milionůkrát a počet úspěšných přihlášení přesáhl 808 případů, kdy došlo k podvodnému využití. Mezi důvody, proč nebylo možné zabránit listovému útoku na účty, patří nedostatečné zvážení opatření proti přihlášení z více zařízení, nedostatečné zvážení dalších ověřovacích metod, jako je dvoustupňové ověření, a nedostatečné ověření optimalizace celého systému.

1. srpna Seven & I Holdings uspořádala mimořádnou tiskovou konferenci v Tokiu a oznámila, že služba „7pay“ skončí 30. září v půlnoci. Důvody pro ukončení služby jsou následující:

• Předpokládá se, že pro dokončení zásadních opatření potřebných k obnovení všech služeb „7pay“, včetně dobíjení, bude potřeba přiměřený čas.
• Pokud by se služba měla v tomto období pokračovat, bylo by nezbytné ji udržet v nedokonalé formě, kdy by bylo možné pouze „platit“.
• Zákazníci stále cítí obavy ohledně této služby.

Slabé povědomí o kybernetické bezpečnosti u společnosti Seven & I Holdings a špatná koordinace v rámci skupiny byly postupně odhaleny, což vedlo k neobvyklému rychlému stažení. Tento neúspěch velkého distributora vyvolal obavy z bezhotovostních plateb, které podporuje vláda.

Případ Uniqlo

Dne 10. května 2019 bylo potvrzeno, že na webových stránkách online obchodu Uniqlo došlo k neoprávněnému přihlášení třetí stranou, která nebyla uživatelem.

Od 23. dubna do 10. května bylo pomocí metody útoku typu seznam neoprávněně přihlášeno na účty 461 091 uživatelů, kteří se zaregistrovali na oficiálních online stránkách Uniqlo a GU. Osobní údaje uživatelů, které mohly být prohlíženy, zahrnovaly jméno, adresu (PSČ, město, číslo domu, číslo pokoje), telefonní číslo, mobilní telefonní číslo, e-mailovou adresu, pohlaví, datum narození, historii nákupů, jméno a velikost zaregistrované v sekci “Moje velikost” a část informací o kreditní kartě (jméno držitele karty, platnost, část čísla kreditní karty).

Identifikovali jsme zdroj komunikace, kde byly pokusy o neoprávněné přihlášení, a přístup jsme zablokovali. Zvýšili jsme také dohled nad ostatními přístupy. U uživatelských ID, u kterých mohly být prohlíženy osobní údaje, jsme 13. května zneplatnili hesla a požádali jsme o jejich obnovení prostřednictvím individuálních e-mailů. Tento případ jsme také nahlásili na policejní prefekturu v Tokiu.

Je charakteristické, že nebyly uniklé pouze základní osobní údaje, jako je jméno, adresa, telefonní číslo, mobilní telefonní číslo, e-mailová adresa a datum narození, ale také informace o soukromí, jako je historie nákupů a jméno a velikost zaregistrované v sekci “Moje velikost”. Jedná se o nepříjemný a znepokojující případ.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Případ kanceláře prefektury Kanagawa

6. prosince 2019 (rok 1 Reiwa) bylo zjištěno, že informace včetně osobních údajů a administrativních dokumentů unikly v důsledku přeprodeje pevných disků (HDD), které byly používány v kanceláři prefektury Kanagawa. Prefektura Kanagawa a Fujitsu Lease, která má s prefekturou nájemní smlouvu na servery, odstranily HDD ze serverů pronajatých na jaře 2019 a svěřily jejich likvidaci recyklační firmě. Zaměstnanec této firmy odnesl některé z HDD a prodal je na Yahoo Auctions bez inicializace. Muž, který vede IT firmu, koupil devět z nich a když zkontroloval jejich obsah, objevil data, která se zdála být oficiálními dokumenty prefektury Kanagawa. Informoval o tom noviny, které potvrdily u prefektury únik dat.

Podle prohlášení prefektury ze 6. prosince bylo odneseno celkem 18 HDD, z nichž devět bylo již získáno zpět a dalších devět bylo později také získáno. Mezi uniklými daty byly daňové oznámení s uvedenými jmény jednotlivců a firem, oznámení po daňovém šetření s uvedenými názvy firem, záznamy o platbě silniční daně s uvedenými jmény a adresami jednotlivců, podané dokumenty firem, pracovní záznamy a seznamy zaměstnanců prefektury obsahující osobní údaje. Každý z odnesených HDD má kapacitu 3 TB, takže celkem mohlo uniknout až 54 TB dat.

Prefektura Kanagawa udělala několik základních chyb, jako je:

• Nedostatečné zvážení šifrování na úrovni hardwaru pro souborové servery, kde jsou uloženy administrativní dokumenty, a uchovávání dat v původním formátu
• Předání zařízení obsahujícího důležité informace nájemní firmě bez získání potvrzení o dokončení inicializace dat
• Povolení recyklační firmě, o které zaměstnanci nevěděli, aby si odvezla nájemní zařízení

U Fujitsu Lease byly také základní chyby, jako je:

• Úplné přenechání likvidace zařízení recyklační firmě
• Nepožádání recyklační firmy o vydání certifikátu potvrzujícího úplné smazání dat, ačkoli to bylo stanoveno v nájemní smlouvě

O recyklační firmě není třeba diskutovat.

Myslím, že nedostatek povědomí o bezpečnosti a nezodpovědné přenechání odpovědnosti, které je společné všem třem zapojeným organizacím, vedlo k takto nedbalému výsledku.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Ostatní případy neoprávněného přístupu

Incidenty způsobené neoprávněným přístupem, které mají velký dopad a ovlivňují širokou oblast, se každoročně zvyšují. V roce 2019 došlo k rekordnímu počtu 41 případů (32 společností) za posledních 8 let, od kdy Tokyo Shōkō Research začal provádět průzkum. To tvoří téměř polovinu z 86 případů úniku a ztráty informací v roce 2019, s počtem úniků a ztrát 8 902 078, což je 98,5% celkového počtu (9 031 734) v roce 2019. Kromě výše uvedených příkladů bylo v roce 2019 odhaleno mnoho dalších případů neoprávněného přístupu, včetně následujících příkladů.

Případ prodejní společnosti automobilových doplňků

Dne 26. února došlo k neoprávněnému přístupu na online obchod provozovaný společností Hase-Pro, která prodává automobilové doplňky, v důsledku zneužití zranitelnosti stránky. Byla zobrazena falešná platební stránka a došlo k úniku informací o kreditních kartách, které uživatelé zadali.

Případ „Dentální knihy.com“

Dne 25. března došlo k neoprávněnému přístupu k webovému serveru „Dentální knihy.com“, který provozuje Quintessence Publishing Co., Ltd., specializované na dentální publikace. Došlo k úniku osobních údajů uživatelů stránek. U zákazníků, kteří využili platbu kreditní kartou, došlo k úniku informací o kreditní kartě včetně bezpečnostního kódu. Kromě toho byly uniklé také osobní údaje uživatelů dentálních pracovních portálů a Japonské mezinárodní dentální konference, celkem až 23 000 záznamů osobních údajů.

Případ „Nanatsuboshi Gallery“

Dne 12. dubna došlo k neoprávněnému přístupu na webovém prodejním místě souvisejícím s luxusním vlakem „Nanatsuboshi in Kyushu“ společnosti Kyushu Railway Company, zvaném „Nanatsuboshi Gallery“. Byly uniklé osobní údaje zákazníků, včetně informací o kreditních kartách. U 3086 členů, kteří zaregistrovali informace o své kreditní kartě, mohou být zahrnuty i bezpečnostní kódy. Bylo oznámeno, že existuje možnost úniku informací také u členů, kteří nezaregistrovali informace o kartě, a u dalších uživatelů, kteří využili web, celkem u 5120 případů.

Případ služby pro monitorování dotazníků “An a Kate”

Dne 23. května došlo k neoprávněnému přístupu využívajícímu zranitelnosti serveru ve službě pro monitorování dotazníků “An a Kate”, kterou provozuje společnost Marketing Applications. Byly uniklé osobní údaje z 770 740 registrovaných účtů. Mezi uniklými informacemi byly e-mailové adresy, pohlaví, povolání, pracoviště a informace související s bankovními účty.

Případ „Yamada Webcom Yamada Mall“

Dne 29. května došlo k neoprávněnému přístupu na „Yamada Webcom Yamada Mall“, který provozuje společnost Yamada Denki Co., Ltd. Aplikace pro platby byla upravena a během tohoto období bylo uniklo maximálně 37 832 záznamů o zákaznických informacích.

Případ s kartou AEON

Dne 13. června došlo k neoprávněnému přihlášení pomocí útoku seznamem hesel na kartu AEON, kterou vydává společnost AEON Credit Service Co., Ltd. Bylo potvrzeno, že neoprávněné přihlášení bylo možné na 1917 účtech, z nichž 708 bylo skutečně napadeno, což způsobilo škody z neoprávněného použití ve výši přibližně 22 milionů jenů. Útočník se pokusil o útok seznamem hesel na oficiální stránce “AEON Square”, neoprávněně získal informace o uživatelských účtech, změnil kontaktní informace pomocí funkce pro změnu registrace v oficiální aplikaci a využil finanční prostředky prostřednictvím funkce pro propojení plateb.

Případ aplikace „Vpass“ společnosti Mitsui Sumitomo Card

Dne 23. srpna oznámila společnost Mitsui Sumitomo Card Co., Ltd., že existuje možnost, že až 16 756 záznamů s ID informacemi zákazníků v aplikaci pro členy „Vpass“ bylo vystaveno neoprávněnému přístupu. Neoprávněný přístup byl potvrzen pravidelným monitorovacím průzkumem prováděným společností a po vyšetření příčiny bylo zjištěno, že většina z přibližně pěti milionů pokusů o přihlášení pocházela od uživatelů, kteří nebyli registrováni v této službě, což naznačuje útok typu seznamu hesel.

Případ Mizuho Bank “J-Coin Pay”

Dne 4. září oznámila společnost Mizuho Financial Group (Japonská Mizuho Banka), že testovací systém pro správu obchodů, které poskytují službu “J-Coin Pay”, byl vystaven neoprávněnému přístupu, což vedlo k úniku informací o 18 469 obchodech, které jsou členy J-Coin.

Případ „10mois WEBSHOP“

Dne 19. září bylo oznámeno, že do online obchodu „10mois WEBSHOP“, který provozuje společnost s ručením omezeným Ficel, došlo k neoprávněnému přístupu. Bylo zjištěno, že bylo uniklo 108 131 záznamů osobních údajů zákazníků a 11 913 záznamů informací o kreditních kartách. Informace o kreditních kartách zahrnovaly také bezpečnostní kódy.

Případ oficiální webové stránky společnosti Kyoto Ichinoden

Dne 8. října došlo k neoprávněnému přístupu na oficiální webové stránky společnosti Kyoto Ichinoden, známé svými západními kyotskými okurkami, a byl pozměněn platební formulář. Bylo uniklo 18 855 údajů o kreditních kartách včetně bezpečnostních kódů a 72 738 záznamů o členských informacích a historii odesílání.

Případ „Nákupy u Zojirushi“

Dne 5. prosince oznámila společnost Zojirushi Mahobin, která provozuje „Nákupy u Zojirushi“, že došlo k neoprávněnému přístupu, a je možné, že bylo uniklo až 280 052 záznamů o zákaznících. Předpokládá se, že příčinou neoprávněného přístupu byla zranitelnost na webu, a společnost proto od 4. prosince pozastavila veřejný přístup k nákupnímu webu.

Případ elektronické služby pro romány “Novelba”

Dne 25. prosince došlo k neoprávněnému přístupu k elektronické službě pro romány “Novelba”, kterou provozuje společnost Beegle Inc., a bylo uniknuto 33 715 záznamů osobních údajů, včetně e-mailových adres registrovaných uživatelů. Kromě toho existuje možnost úniku bankovních údajů u 76 uživatelů, kteří byli registrováni v odměnném programu, což může vést k dalším škodám.

Shrnutí

Adekvátní opatření k zabránění úniku a ztrátě informací se stává důležitým tématem pro všechny organizace a firmy, které zpracovávají osobní údaje. Zejména u malých podniků, které disponují omezenými finančními a lidskými zdroji ve srovnání s veřejně obchodovanými společnostmi, může únik informací způsobit fatální škody na podnikání. Je nezbytné se vypořádat s bezpečnostními opatřeními a vytvořením systému pro správu informací. V kontextu využití velkých dat se osobní údaje stávají stále důležitějšími. Současně se stává důležitým předpokladem pro řízení rizik přísná bezpečnost proti sofistikovaným neoprávněným přístupům a správa informací.