Tendenser i hændelser med lækage og tab af personlige oplysninger i 2019 (2019)

Ifølge Tokyo Shōkō Research offentliggjorde 66 børsnoterede virksomheder og deres datterselskaber i 2019 (det 31. år af Heisei) hændelser med lækage eller tab af personlige oplysninger. Antallet af hændelser var 86, og de lækede personlige oplysninger nåede op på 9.031.734 personer. I 2019 var der to store hændelser, hvor mere end en million personlige oplysninger blev lækket. Den betalingstjeneste “7pay” introduceret af den store detailhandelsvirksomhed Seven & I Holdings blev tvunget til at stoppe tjenesten på grund af ulovlig brug, hvilket igen satte fokus på vigtigheden af sikkerhedsforanstaltninger.

I tilfældet med “Takufairu Bin”

Den 22. januar 2019 blev det opdaget, at der var sket en informationslækage i filoverførselstjenesten “Takufairu Bin”, som blev drevet af OGIS Research Institute, et 100% datterselskab af Osaka Gas. En mistænkelig fil blev fundet på serveren, og yderligere undersøgelser bekræftede tilstedeværelsen af mistænkelige adgangslogs. For at forhindre yderligere skade blev tjenesten stoppet den 23. januar, og den første rapport blev offentliggjort. Den 25. januar blev informationslækagen bekræftet.

Antallet af lækager var 4.815.399 (22.569 betalende medlemmer: 4.753.290 gratis medlemmer: 42.501 tidligere medlemmer), og de lækede oplysninger inkluderede navn, e-mailadresse til login, loginadgangskode, fødselsdato, køn, erhverv/branche/jobtype, og navnet på præfekturet for bopæl. Dette antal lækager er det næsthøjeste i historien, kun overgået af de 35,04 millioner personlige oplysninger ulovligt erhvervet af en kontraktansat hos Benesse i 2014.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

OGIS Research Institute overvejede genopretning samtidig med at de gennemførte sikkerhedskontroller og forstærkninger. Men da der ikke var nogen klar udsigt til systemgenopbygning, blev det annonceret den 14. januar 2020, at tjenesten ville blive afsluttet den 31. marts 2020.

Hvis du bruger den samme e-mailadresse og loginadgangskode, som du registrerede med “Takufairu Bin”, til at bruge andre webtjenester, er der en risiko for, at tredjeparter, der har erhvervet de lækede oplysninger, kan logge ind ulovligt på disse webtjenester, dvs. “impersonere” dig.

Sagen om Toyota Mobility

Toyota Mobility, en salgsdatterselskab af Toyota Motor Corporation, blev udsat for et cyberangreb den 21. marts 2019. Det blev annonceret, at op til 3,1 millioner personlige data kunne være lækket fra netværksserveren, da otte relaterede salgsselskaber, der deler det samme systemgrundlag, blev målrettet. Heldigvis er det blevet annonceret, at kreditkortoplysninger ikke er lækket, så risikoen for direkte økonomiske problemer kan være lav. Men da det er information om kunder, der har købt biler, kan det være, at det handles til høje priser mellem listebrokers, og skaden kan ikke nødvendigvis undgås.

Til trods for at Toyota Mobility har opnået Privacy Mark (P-Mark), er de nu tvunget til at træffe vigtige valg i deres fremtidige sikkerhedsforanstaltninger på grund af denne persondata lækage. Desuden kan det siges, at denne persondata lækage beviser, at det ikke kunne forhindres med de tidligere sikkerhedsforanstaltninger. Der er behov for at realisere en persondata beskyttelsesstyringssystem på et højere niveau end det sikkerhedssystem, der har opnået Privacy Mark (P-Mark).

Ligesom i tilfældet med Benesse, hvis det vurderes, at det fremtidige persondata beskyttelsesstyringssystem ikke er tilstrækkeligt, kan Privacy Mark (P-Mark) blive ugyldigt. Hvis Privacy Mark (P-Mark) bliver ugyldigt, er der en risiko for at miste tilliden, hvilket vil være et stort problem.

Tilfældet med “7pay”

Betalingsløsningen “7pay”, som blev introduceret af Seven & i Holdings, blev den 2. juli 2019, dagen efter lanceringen, ramt af en henvendelse fra en bruger, der rapporterede en transaktion, de ikke kunne genkende. En intern undersøgelse blev iværksat den 3. juli, hvor det blev opdaget, at tjenesten var blevet misbrugt.

Virksomheden stoppede straks alle indbetalinger fra kredit- og debitkort, og fra den 4. juli blev nye registreringer også midlertidigt stoppet. Samme dag blev alle indbetalinger midlertidigt suspenderet.

Antallet af ofre for uautoriseret adgang blev rapporteret til at være 808, med et samlet tab på 38.615.473 yen. Det blev antaget, at den uautoriserede adgang mest sandsynligt var et resultat af en liste-baseret angreb. Dette er en metode, hvor ID’er og adgangskoder, der tidligere er blevet lækket online fra andre virksomheder, indtastes mekanisk. Det er blevet forsøgt mindst flere titusinder af gange, og antallet af succesfulde logins overstiger de 808 tilfælde af misbrug. Årsagerne til, at de ikke kunne forhindre liste-baseret konto hacking, inkluderer utilstrækkelige foranstaltninger mod logins fra flere enheder, utilstrækkelig overvejelse af yderligere godkendelser som to-faktor autentificering, og at de ikke var i stand til at verificere optimaliseringen af hele systemet tilstrækkeligt.

Den 1. august afholdt Seven & i Holdings en nødpressekonference i Tokyo, hvor de annoncerede, at “7pay” ville ophøre kl. 24 den 30. september. De tre hovedårsager til ophøret af tjenesten er som følger:

• Det forventes, at det vil tage en betydelig tid at fuldføre en grundlæggende løsning, der vil tillade genoptagelse af alle tjenester, inklusive indbetalinger, for 7pay.
• Hvis tjenesten skulle fortsætte i mellemtiden, ville det kun være i en ufuldstændig form, der kun tillader “brug (betalinger)”.
• Kunderne har stadig bekymringer om denne tjeneste.

Seven & i Holdings’ manglende fokus på netværkssikkerhed og dårlige samarbejde inden for gruppen blev efterhånden afsløret, hvilket tvang dem til at trække sig ud i en usædvanlig kort periode. Dette snublende skridt fra en stor detailhandler har ført til bekymringer om den kontantløse betalingsløsning, som regeringen fremmer.

Uniqlo-sagen

Den 10. maj 2019 blev det bekræftet, at der var sket uautoriseret login af tredjeparter på Uniqlos online butiksside, som ikke var brugeren selv.

Fra den 23. april til den 10. maj blev antallet af konti, der blev ulovligt logget ind ved hjælp af en liste-type angreb, på Uniqlos officielle online butik og GU’s officielle online butik, anslået til 461.091. De personlige oplysninger, der potentielt kunne være blevet set, inkluderede navn, adresse (postnummer, by, bydel, by, husnummer, værelsesnummer), telefonnummer, mobiltelefonnummer, e-mailadresse, køn, fødselsdato, købshistorik, navn og størrelse registreret i “Min størrelse”, og en del af kreditkortoplysningerne (kortindehaver, udløbsdato, en del af kreditkortnummeret).

De blokerede adgangen ved at identificere kommunikationskilden, hvor det ulovlige login blev forsøgt, og styrkede overvågningen af andre adgange. Men for bruger-ID’er, hvor der var en mulighed for, at personlige oplysninger kunne være blevet set, deaktiverede de adgangskoderne den 13. maj, kontaktede hver enkelt via e-mail for at anmode om nulstilling af adgangskoden, og rapporterede også denne sag til Tokyo Metropolitan Police Department.

Det er karakteristisk for denne sag, at ikke kun grundlæggende personlige oplysninger som navn, adresse, telefonnummer, mobiltelefonnummer, e-mailadresse og fødselsdato, men også privatlivsoplysninger som købshistorik og navn og størrelse registreret i “Min størrelse” blev lækket. Det er en ubehagelig og bekymrende sag.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Tilfældet med Kanagawa Præfekturkontor

Det blev afsløret den 6. december 2019 (Reiwa 1), at information, herunder personlige data og administrative dokumenter, var blevet lækket som følge af videresalg af harddiskdrev (HDD’er) brugt i Kanagawa Præfekturkontor. Fujitsu Lease, som har en leasingaftale med Kanagawa Præfektur for servere og lignende, fjernede HDD’erne fra de leasede servere i foråret 2019 og betroede bortskaffelsen til et genbrugsfirma. En medarbejder hos dette firma tog nogle af HDD’erne og videresolgte dem på Yahoo Auktioner uden at have initialiseret dem. En mand, der driver en IT-virksomhed, købte ni af disse og opdagede data, der syntes at være officielle dokumenter fra Kanagawa Præfektur, da han tjekkede indholdet. Han informerede en avis, som bekræftede lækagen med præfekturet.

Ifølge en udtalelse fra præfekturet den 6. december om morgenen, blev i alt 18 HDD’er fjernet, hvoraf ni allerede var blevet indsamlet, og de resterende ni blev indsamlet senere. De lækkede data inkluderer skatteopgørelser med personlige og virksomhedsnavne, meddelelser efter skatteinspektioner med virksomhedsnavne, skatteregistre for bilskatter med personlige navne og adresser, virksomheders indsendte dokumenter, og personlige data som arbejdsjournaler og lister over præfekturets medarbejdere. Da hver af de fjernede HDD’er har en lagringskapacitet på 3TB, er der en mulighed for, at op til 54TB data er blevet lækket fra de 18 drev.

Kanagawa Præfektur har begået grundlæggende fejl som:

• Ikke at overveje tilstrækkeligt hardwareniveaukryptering for filservere, hvor administrative dokumenter og lignende er gemt, og i stedet gemme data i rå format
• At tro, at leasingfirmaet ville udføre dataudsletning efter initialisering, men ikke modtage nogen certificering for fuldførelsen af dette
• At lade et genbrugsfirma, som ikke engang er kendt af de ansvarlige, hente leasede enheder

Og Fujitsu Lease har også begået grundlæggende fejl som:

• At overlade enhedsbortskaffelse (genbrug) fuldstændigt til genbrugsfirmaet
• At trods leasingaftalen kræver en certificering, der viser, at data er blevet fuldstændigt slettet, har de ikke anmodet genbrugsfirmaet om at udstede en sådan certificering

Der er ingen grund til at diskutere genbrugsfirmaet. Det er klart, at en mangel på sikkerhedsbevidsthed og en ansvarsfraskrivende holdning, der er fælles for de tre involverede organisationer, har ført til dette uheldige resultat.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Andre tilfælde af uautoriseret adgang

Antallet af hændelser forårsaget af uautoriseret adgang, der har stor skade og bred indflydelse, stiger år for år. I 2019 var der 41 hændelser (32 virksomheder), det højeste antal i de 8 år siden Tokyo Handels- og Industriundersøgelsen begyndte. Dette er næsten halvdelen af de 86 hændelser med datalækage og tab i 2019, med antallet af lækage og tabte sager på 8.902.078, hvilket udgør 98,5% af det samlede antal i 2019 (9.031.734). Ud over de ovennævnte eksempler blev mange tilfælde af uautoriseret adgang afsløret i 2019, herunder følgende eksempler.

Tilfældet med en biludstyrsforhandler

Den 26. februar blev der registreret uautoriseret adgang til en online butik drevet af Hase-Pro Corporation, en virksomhed der sælger biludstyr, ved at udnytte sårbarheder på webstedet. En falsk betalingsskærm blev vist, og brugernes indtastede kreditkortoplysninger blev lækket.

Tilfældet med “Tandlægebog.com”

Den 25. marts skete der en uautoriseret adgang til webserveren for “Tandlægebog.com”, som drives af Quintessence Publishing Co., Ltd., en specialist inden for tandlægeudgivelser. Dette resulterede i lækage af personlige oplysninger fra brugere af webstedet. For kunder, der brugte kreditkortbetaling, blev kreditkortoplysninger, inklusive sikkerhedskoder, også lækket. Derudover blev op til 23.000 personlige oplysninger lækket, inklusive brugere af tandlæge jobwebsteder og den japanske internationale tandlægekonference.

Tilfældet med “NanatsuboshiGallery”

Den 12. april opstod der uautoriseret adgang til “NanatsuboshiGallery”, en online butik for relaterede produkter til Kyushu Passenger Railway Company’s krydstogttog “Nanatsuboshi in Kyushu”, hvilket resulterede i lækage af personlige oplysninger, herunder kreditkortoplysninger fra kunder. Det blev annonceret, at der er en mulighed for, at sikkerhedskoden også er inkluderet i de 3086 medlemmer, der har registreret deres kreditkortoplysninger, og der er også en mulighed for informationslækage for 5120 sager, herunder medlemmer, der ikke har registreret kortoplysninger, og andre brugere, der har brugt webstedet.

I tilfældet med spørgeskemaovervågningstjenesten “An to Keito”

Den 23. maj opstod der uautoriseret adgang ved at udnytte en server sårbarhed i spørgeskemaovervågningstjenesten “An to Keito”, som drives af Marketing Applications Inc. Personlige oplysninger fra 770.740 registrerede konti blev lækket. Det siges, at disse oplysninger inkluderede e-mail-adresser, køn, erhverv, arbejdsplads og bankkonto-relaterede oplysninger.

Tilfældet med “Yamada Webcom Yamada Mall”

Den 29. maj blev der registreret uautoriseret adgang til “Yamada Webcom Yamada Mall”, som drives af Yamada Denki Co., Ltd. Betalingsapplikationen blev manipuleret, og op til 37.832 kunderegistreringer, der blev foretaget i løbet af perioden, blev lækket.

I tilfældet med Æon-kortet

Den 13. juni blev der registreret uautoriseret login på Æon-kortet, som er udstedt af Æon Credit Service Co., Ltd., som følge af et passwordlisteangreb. Det blev bekræftet, at uautoriseret login var muligt på 1917 konti, og af disse blev der registreret uautoriseret login på 708 konti. Det blev annonceret, at der var sket skade som følge af uautoriseret brug for i alt omkring 22 millioner yen. Angriberne menes at have udført et passwordlisteangreb på den officielle hjemmeside “Æon Square”, ulovligt erhvervet brugerkontooplysninger, ændret registreringsoplysningerne på den officielle app til en anden kontakt, og brugt midlerne gennem betalingsintegrationsfunktionen.

I tilfældet med Mitsui Sumitomo Card ‘Vpass App’

Den 23. august meddelte Mitsui Sumitomo Card Co., Ltd., at der muligvis har været uautoriseret adgang til op til 16.756 kundes ID-oplysninger i deres medlems smartphone-app ‘Vpass App’. Uautoriseret adgang blev bekræftet gennem den regelmæssige overvågning, som virksomheden udfører, og efter at have undersøgt årsagen, blev det konstateret, at størstedelen af de omkring 5 millioner loginforsøg var fra dem, der ikke var registreret i tjenesten, hvilket indikerer en passwordliste-type angreb.

Tilfældet med Mizuho Bank’s “J-Coin Pay”

Den 4. september annoncerede Mizuho Financial Group (Mizuho Bank), at deres testsystem til håndtering af medlemsbutikker for “J-Coin Pay” tjenesten, havde været udsat for uautoriseret adgang. Dette resulterede i lækage af information om 18.469 J-Coin medlemsbutikker.

I tilfældet med “10mois WEBSHOP”

Den 19. september blev der rapporteret om uautoriseret adgang til onlinebutikken “10mois WEBSHOP”, drevet af det japanske firma Ficelle Co., Ltd. Det blev annonceret, at 108.131 kundepersonoplysninger og 11.913 kreditkortoplysninger var blevet lækket. Kreditkortoplysningerne inkluderede også sikkerhedskoder.

Tilfældet med den officielle hjemmeside for Kyoto Ichinoden

Den 8. oktober blev den officielle hjemmeside for Kyoto Ichinoden, et aktieselskab kendt for deres Nishikyo pickles, ulovligt tilgået, og deres betalingsformular blev ændret. Kreditkortoplysninger, inklusiv sikkerhedskoder, for 18.855 tilfælde, samt medlemsinformation og forsendelseshistorik for 72.738 tilfælde blev lækket.

I tilfældet med “Shopping med Zojirushi”

Den 5. december blev det annonceret, at der var sket en uautoriseret adgang til “Shopping med Zojirushi”, som drives af Zojirushi Mahobin Co., Ltd., og at op til 280.052 kunderegistreringer muligvis er blevet lækket. Årsagen til den uautoriserede adgang antages at være en sårbarhed på hjemmesiden, og virksomheden har suspenderet offentliggørelsen af shoppinghjemmesiden siden den 4. december.

Tilfældet med e-roman tjenesten ‘Novelba’

Den 25. december blev e-roman tjenesten ‘Novelba’, som drives af B Gree Co., Ltd., udsat for uautoriseret adgang, og personlige oplysninger, inklusiv e-mailadresser, for 33.715 registrerede brugere blev lækket. Derudover er der en mulighed for, at bankoplysninger for 76 brugere, der var registreret i belønningsprogrammet, også blev lækket, hvilket kan føre til sekundær skade.

Opsummering

Det er blevet en vigtig opgave for alle organisationer og virksomheder, der håndterer personlige oplysninger, at træffe passende foranstaltninger for at forhindre lækage og tab af information. Især for små virksomheder, der har færre finansielle og menneskelige ressourcer sammenlignet med børsnoterede virksomheder, kan en lækageulykke potentielt forårsage alvorlig skade på virksomhedens drift. Det er afgørende at tage hånd om sikkerhedsforanstaltninger og opbygning af information management systemer. Med baggrund i den øgede anvendelse af big data, er personlige oplysninger blevet mere og mere vigtige. Samtidig er strenge sikkerhedsforanstaltninger og information management mod sofistikerede og ulovlige adgange blevet en vigtig forudsætning for risikostyring.