Η τάση των περιστατικών διαρροής και απώλειας προσωπικών δεδομένων το 2019 (Heisei 31/Reiwa 1)

Σύμφωνα με την έρευνα της Tokyo Shoko Research (Τόκιο Εμπορική Έρευνα), το 2019 (Έτος Ρέιβα 1), 66 εισηγμένες εταιρείες και οι θυγατρικές τους ανακοίνωσαν περιστατικά διαρροής ή απώλειας προσωπικών δεδομένων, με τον αριθμό των περιστατικών να φτάνει τα 86 και τα διαρρεύσαντα προσωπικά δεδομένα να αγγίζουν τα 9.031.734 ατόμων. Το έτος 2019 χαρακτηρίστηκε από δύο μεγάλα περιστατικά διαρροής με πάνω από 1.000.000 προσωπικών δεδομένων το καθένα, ενώ η μεγάλη αλυσίδα διανομής Seven & I Holdings (Σέβεν & Αϊ Χόλντινγκς) αναγκάστηκε να καταργήσει την υπηρεσία πληρωμών ‘7pay (Σέβενπει)’ λόγω παράνομης χρήσης, γεγονός που έφερε εκ νέου στο προσκήνιο τη σημασία των μέτρων ασφαλείας.

Στην περίπτωση του “宅ふぁいる便” (Takuhai File Service)

Στις 22 Ιανουαρίου 2019, ανακαλύφθηκε ένα ύποπτο αρχείο στους διακομιστές της υπηρεσίας μεταφοράς αρχείων “宅ふぁいる便”, την οποία διαχειριζόταν η Aegis Souken, θυγατρική εταιρεία της Osaka Gas. Αυτό οδήγησε στην αποκάλυψη μιας διαρροής πληροφοριών. Μετά από περαιτέρω έρευνα, επιβεβαιώθηκαν ύποπτα ημερολόγια πρόσβασης και για την πρόληψη περαιτέρω ζημιών, η υπηρεσία διακόπηκε στις 23 Ιανουαρίου και η πρώτη ανακοίνωση έγινε, ενώ στις 25 Ιανουαρίου επιβεβαιώθηκε η διαρροή πληροφοριών.

Ο αριθμός των διαρροών ανήλθε σε 4.815.399 περιπτώσεις (επί πληρωμή μέλη 22.569, δωρεάν μέλη 4.753.329, πρώην μέλη 42.501), και οι διαρρεύσαντες πληροφορίες περιλάμβαναν ονόματα, διευθύνσεις email για σύνδεση, κωδικούς πρόσβασης, ημερομηνίες γέννησης, φύλο, επάγγελμα/κλάδο/ειδικότητα και την περιφέρεια κατοικίας. Αυτός ο αριθμός διαρροών είναι ο δεύτερος μεγαλύτερος στην ιστορία, μετά την περίπτωση της Benesse το 2014, όπου ένας υπεργολάβος απέκτησε παράνομα πρόσβαση σε προσωπικά δεδομένα 35.040.000 ατόμων.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Στη συνέχεια, η Aegis Souken προχώρησε σε επιθεώρηση και ενίσχυση της ασφάλειας, εξετάζοντας παράλληλα την ανάκαμψη της υπηρεσίας. Ωστόσο, λόγω της αδυναμίας να διαφανεί ένα σχέδιο για την αναδόμηση του συστήματος, ανακοινώθηκε στις 14 Ιανουαρίου 2020 ότι η υπηρεσία θα τερματιστεί στις 31 Μαρτίου 2020.

Εάν έχετε χρησιμοποιήσει την ίδια διεύθυνση email και κωδικό πρόσβασης που καταχωρήσατε στο “宅ふぁいる便” για άλλες υπηρεσίες ιστού, υπάρχει κίνδυνος οι πληροφορίες που διέρρευσαν να επιτρέψουν σε τρίτους να πραγματοποιήσουν παράνομη σύνδεση στις υπηρεσίες αυτές, δηλαδή να προβούν σε “απομίμηση” της ταυτότητάς σας.

Η περίπτωση της Toyota Mobility

Η Toyota Mobility, θυγατρική εταιρεία πωλήσεων της Toyota, δέχθηκε κυβερνοεπίθεση στις 21 Μαρτίου 2019 (Heisei 31), και αποκαλύφθηκε ότι υπήρξε πιθανή διαρροή έως και 3,1 εκατομμυρίων προσωπικών δεδομένων από τους δικτυακούς διακομιστές, καθώς στοχεύθηκαν συνολικά οκτώ συνδεδεμένες εταιρείες πωλήσεων με κοινή υποδομή συστημάτων. Ευτυχώς, ανακοινώθηκε ότι δεν διέρρευσαν πληροφορίες πιστωτικών καρτών, οπότε η πιθανότητα να εξελιχθεί σε οικονομικό πρόβλημα είναι ίσως μικρή. Ωστόσο, επειδή πρόκειται για πληροφορίες πελατών που αγόρασαν αυτοκίνητα, υπάρχει η πιθανότητα αυτές να έχουν πωληθεί σε υψηλές τιμές μεταξύ εταιρειών καταλόγων, και δεν μπορούμε να αποκλείσουμε την πιθανότητα ζημιάς.

Παρά την απόκτηση του Ιαπωνικού Σήματος Προστασίας Προσωπικών Δεδομένων (P Mark), η Toyota Mobility αντιμετώπισε αυτό το πρόβλημα διαρροής προσωπικών δεδομένων, γεγονός που την αναγκάζει να κάνει σημαντικές επιλογές στην ασφάλεια στο μέλλον. Επιπλέον, η διαρροή αυτή αποδεικνύει ότι οι μέχρι τώρα μέτρα ασφαλείας δεν ήταν αρκετά για να αποτρέψουν τέτοια περιστατικά. Ίσως χρειαστεί να εφαρμοστεί ένα ακόμα πιο προηγμένο επίπεδο διαχείρισης προστασίας προσωπικών δεδομένων από αυτό που προσφέρει η κατοχή του Ιαπωνικού Σήματος Προστασίας Προσωπικών Δεδομένων (P Mark).

Όπως συνέβη και στην περίπτωση της Benesse, εάν κριθεί ότι το σύστημα διαχείρισης προστασίας προσωπικών δεδομένων δεν είναι επαρκές, μπορεί να οδηγήσει στην ακύρωση του Ιαπωνικού Σήματος Προστασίας Προσωπικών Δεδομένων (P Mark). Η ακύρωση του Ιαπωνικού Σήματος Προστασίας Προσωπικών Δεδομένων (P Mark) μπορεί να οδηγήσει σε απώλεια εμπιστοσύνης, κάτι που θα αποτελούσε σοβαρό πρόβλημα.

Η περίπτωση του «7pay (セブンペイ)»

Η υπηρεσία πληρωμών «7pay», που εισήγαγε η εταιρεία Seven & i Holdings, αντιμετώπισε προβλήματα αμέσως μετά την ενεργοποίησή της, στις 2 Ιουλίου 2019, όταν χρήστες ανέφεραν συναλλαγές που δεν αναγνώριζαν. Μετά από εσωτερική έρευνα στις 3 Ιουλίου, αποκαλύφθηκε η παράνομη χρήση της υπηρεσίας.

Η εταιρεία ανέστειλε αμέσως τις φορτίσεις μέσω πιστωτικών και χρεωστικών καρτών και από τις 4 Ιουλίου ανέστειλε προσωρινά και τις νέες εγγραφές στην υπηρεσία, ενώ την ίδια ημέρα ανακοίνωσε την προσωρινή αναστολή όλων των φορτίσεων.

Ο αριθμός των θυμάτων από την παράνομη πρόσβαση ανήλθε σε 808 άτομα, με το συνολικό ποσό της ζημιάς να φτάνει τα 38.615.473 γιεν. Η μέθοδος της παράνομης πρόσβασης φαίνεται να ήταν μια επίθεση με χρήση λιστών, μια τακτική που περιλαμβάνει τη μηχανική εισαγωγή ID και κωδικών που έχουν διαρρεύσει από άλλες εταιρείες στο διαδίκτυο. Φαίνεται ότι έγιναν δεκάδες εκατομμύρια προσπάθειες σύνδεσης, με τον αριθμό των επιτυχημένων συνδέσεων να υπερβαίνει τα 808 περιστατικά παράνομης χρήσης. Ως αιτίες που δεν αποτράπηκε η επίθεση με χρήση λιστών αναφέρονται η ανεπαρκής εξέταση πρόσθετων μέτρων ασφαλείας, όπως η διαδικασία επαλήθευσης σε δύο βήματα, και η ανεπαρκής επαλήθευση της βελτιστοποίησης του συνολικού συστήματος.

Στις 1 Αυγούστου, η Seven & i Holdings πραγματοποίησε μια επείγουσα συνέντευξη τύπου στο Τόκιο και ανακοίνωσε ότι η υπηρεσία «7pay» θα τερματιστεί στις 30 Σεπτεμβρίου στις 24:00. Οι λόγοι που οδήγησαν στην κατάργηση της υπηρεσίας είναι οι εξής:

• Η ανάγκη για σημαντικό χρονικό διάστημα προκειμένου να ολοκληρωθούν οι ριζικές αλλαγές που απαιτούνται για την επανεκκίνηση όλων των υπηρεσιών του 7pay, συμπεριλαμβανομένων των φορτίσεων
• Η ανάγκη να λειτουργήσει η υπηρεσία με μια ατελή μορφή, προσφέροντας μόνο πληρωμές, εάν θα συνεχιζόταν κατά τη διάρκεια αυτής της περιόδου
• Η συνεχιζόμενη ανησυχία των πελατών σχετικά με την υπηρεσία

Η ελαφρότητα της Seven & i Holdings στην κυβερνοασφάλεια και η ανεπαρκής συνεργασία εντός του ομίλου αποκαλύφθηκαν διαδοχικά, οδηγώντας σε μια ασυνήθιστα ταχεία απόσυρση από την αγορά. Το στραβοπάτημα ενός μεγάλου παίκτη στον τομέα της διανομής προκάλεσε ανησυχία για την προώθηση των πληρωμών χωρίς μετρητά, την οποία υποστηρίζει η κυβέρνηση.

Η περίπτωση της Uniqlo

Στις 10 Μαΐου 2019 (Έτος Reiwa 1), επιβεβαιώθηκε ότι συνέβη μια παράνομη είσοδος από τρίτους που δεν ήταν οι ίδιοι οι χρήστες στον διαδικτυακό κατάστημα που διαχειρίζεται η Uniqlo.

Από τις 23 Απριλίου έως τις 10 Μαΐου, ο αριθμός των λογαριασμών που παραβιάστηκαν μέσω της τεχνικής επίθεσης λίστας ανήλθε σε 461.091, καταγεγραμμένων στο επίσημο διαδικτυακό κατάστημα της Uniqlo και του GU. Τα προσωπικά δεδομένα των χρηστών που ενδέχεται να έχουν προβληθεί περιλαμβάνουν το όνομα, τη διεύθυνση (ταχυδρομικός κώδικας, πόλη/περιοχή, αριθμός οδού, αριθμός διαμερίσματος), τηλέφωνο, κινητό τηλέφωνο, διεύθυνση email, φύλο, ημερομηνία γέννησης, ιστορικό αγορών, καταχωρημένο όνομα και μεγέθη στο My Size, καθώς και ορισμένες πληροφορίες πιστωτικής κάρτας (όνομα κατόχου, ημερομηνία λήξης, μέρος του αριθμού της κάρτας).

Η Uniqlo αναγνώρισε τις πηγές των παράνομων εισόδων και απέκλεισε την πρόσβαση, ενισχύοντας ταυτόχρονα την επιτήρηση για άλλες προσπάθειες πρόσβασης. Στις 13 Μαΐου, ακύρωσε τους κωδικούς πρόσβασης των χρηστών που ενδέχεται να είχαν προβληθεί τα προσωπικά τους δεδομένα και επικοινώνησε με κάθε χρήστη ξεχωριστά μέσω email για να ζητήσει την επαναφορά του κωδικού. Επιπλέον, ανέφερε το περιστατικό στην Αστυνομία του Τόκιο.

Το περιστατικό αυτό δεν αφορά μόνο τη διαρροή βασικών προσωπικών δεδομένων όπως το όνομα, η διεύθυνση, το τηλέφωνο, το κινητό τηλέφωνο και η διεύθυνση email, αλλά και την ιστορία αγορών και τα καταχωρημένα μεγέθη στο My Size, πράγμα που αποτελεί ένα ιδιαίτερα δυσάρεστο και ανησυχητικό περιστατικό για την παραβίαση της ιδιωτικότητας.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Στην περίπτωση της Νομαρχίας Καναγκάουα

Στις 6 Δεκεμβρίου 2019 (Ρέιβα 1), αποκαλύφθηκε ότι πληροφορίες που περιείχαν προσωπικά δεδομένα και διοικητικά έγγραφα διέρρευσαν λόγω της μεταπώλησης ενός HDD (Σκληρού Δίσκου) που χρησιμοποιούνταν στη Νομαρχία Καναγκάουα. Η Fujitsu Lease, η εταιρεία που είχε συνάψει συμβόλαιο μίσθωσης διακομιστών και άλλου εξοπλισμού με τη Νομαρχία, αφαίρεσε τον HDD από έναν διακομιστή που είχε μισθώσει την άνοιξη του 2019 και ανέθεσε την απόρριψή του σε μια εταιρεία ανακύκλωσης. Ένας υπεύθυνος της εταιρείας ανακύκλωσης αφαίρεσε μέρος των HDD και τα πούλησε στο Yahoo Auctions χωρίς να τα έχει πρώτα εκκινήσει, και ένας άνδρας που διαχειρίζεται μια IT εταιρεία και αγόρασε εννέα από αυτά, ανακάλυψε δεδομένα που φαίνεται να είναι δημόσια έγγραφα της Νομαρχίας Καναγκάουα και παρείχε τις πληροφορίες σε μια εφημερίδα, η οποία επιβεβαίωσε τη διαρροή με τη Νομαρχία.

Σύμφωνα με την ανακοίνωση της Νομαρχίας το πρωί της 6ης Δεκεμβρίου, συνολικά 18 HDD είχαν αφαιρεθεί, εκ των οποίων τα εννέα είχαν ήδη ανακτηθεί και τα υπόλοιπα εννέα ανακτήθηκαν αργότερα. Τα δεδομένα που διέρρευσαν περιείχαν προσωπικά ονόματα και ονόματα εταιρειών σε ειδοποιήσεις φορολογικών εισφορών, ειδοποιήσεις μετά από φορολογικούς ελέγχους με τα ονόματα νομικών προσώπων, καταγραφές πληρωμών φόρου οχημάτων με προσωπικά ονόματα και διευθύνσεις, εγγραφές που υπέβαλαν εταιρείες, καθώς και εργασιακά αρχεία και κατάλογοι των υπαλλήλων της Νομαρχίας. Κάθε HDD είχε χωρητικότητα αποθήκευσης 3TB, οπότε για τα 18 HDD υπάρχει η πιθανότητα να έχουν διαρρεύσει μέχρι και 54TB δεδομένων.

Στη Νομαρχία Καναγκάουα, υπήρχαν οι εξής αρχάριοι λάθη:

• Δεν εξετάστηκε επαρκώς η κρυπτογράφηση σε επίπεδο υλικού για τους διακομιστές αρχείων όπου αποθηκεύονται τα διοικητικά έγγραφα, και αποθηκεύτηκαν σε μορφή ακατέργαστων δεδομένων.
• Παρά το γεγονός ότι οι συμβάσεις μίσθωσης απαιτούν την πλήρη διαγραφή των δεδομένων πριν επιστραφούν οι συσκευές στην εταιρεία μίσθωσης, δεν έλαβαν ποτέ πιστοποιητικό ολοκλήρωσης της διαγραφής.
• Οι υπεύθυνοι δεν γνώριζαν ότι ένας ανακυκλωτής αναλάμβανε την παραλαβή των μισθωμένων συσκευών.

Στην Fujitsu Lease, υπήρχαν επίσης αρχάρια λάθη:

• Ανέθεσαν απερίσκεπτα τη διαδικασία απόρριψης (ανακύκλωσης) του εξοπλισμού σε εταιρεία ανακύκλωσης.
• Παρόλο που η σύμβαση μίσθωσης απαιτούσε την υποβολή πιστοποιητικού πλήρους διαγραφής δεδομένων στη Νομαρχία, δεν ζήτησαν ποτέ από την εταιρεία ανακύκλωσης να εκδώσει ένα τέτοιο πιστοποιητικό.

Όσον αφορά την εταιρεία ανακύκλωσης, δεν χρειάζεται καν να συζητήσουμε τις ευθύνες της.

Η έλλειψη αίσθησης ασφάλειας και η ανεύθυνη συνήθεια της αποποίησης ευθυνών, κοινή στους τρεις εμπλεκόμενους οργανισμούς, οδήγησε σε αυτό το απαράδεκτο αποτέλεσμα.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Άλλες Περιπτώσεις Παράνομης Πρόσβασης

Τα περιστατικά παράνομης πρόσβασης που προκαλούν σημαντική ζημιά και επηρεάζουν ευρεία φάσματα αυξάνονται ετησίως. Το 2019, η έρευνα της Τόκιο Εμπορικής και Βιομηχανικής Έρευνας (Tokyo Shoko Research) ανέφερε ότι σημειώθηκαν 41 περιστατικά (από 32 εταιρείες), το υψηλότερο αριθμό σε διάστημα 8 ετών από την έναρξη της έρευνας. Αυτό αντιστοιχεί σε σχεδόν το μισό από τα 86 περιστατικά διαρροής και απώλειας δεδομένων του 2019, με τον αριθμό των διαρρεύσεων και απωλειών να φτάνει τα 8.902.078 περιστατικά, το 98.5% του συνολικού αριθμού (9.031.734 περιστατικά) για το έτος. Εκτός από τα παραπάνω περιστατικά, το 2019 αποκαλύφθηκαν πολλές περιπτώσεις παράνομης πρόσβασης, μεταξύ των οποίων και τα ακόλουθα παραδείγματα.

Στην περίπτωση εταιρείας πώλησης αυτοκινητικών ειδών

Στις 26 Φεβρουαρίου, στο διαδικτυακό κατάστημα της εταιρείας πώλησης αυτοκινητικών ειδών Κοινωνία Μετοχών Χασέ Προ, εκμεταλλευόμενοι τις ευπάθειες του ιστότοπου, διαπράχθηκε μια παράνομη πρόσβαση. Εμφανίστηκε μια πλαστή σελίδα πληρωμών και διέρρευσαν οι πληροφορίες πιστωτικών καρτών που εισήγαγαν οι χρήστες.

Στην περίπτωση του 「Japanese 歯学書ドットコム」

Στις 25 Μαρτίου, έγινε παράνομη πρόσβαση στον διακομιστή ιστού του 「Japanese 歯学書ドットコム」, το οποίο διαχειρίζεται η ειδικευμένη στην οδοντιατρική εκδοτική εταιρεία Quintessence Publishing Co., Ltd., και ως αποτέλεσμα διέρρευσαν προσωπικά δεδομένα χρηστών του ιστότοπου. Για τους πελάτες που χρησιμοποίησαν πληρωμή με πιστωτική κάρτα, διέρρευσαν επίσης πληροφορίες πιστωτικών καρτών που περιλαμβάνουν τον κωδικό ασφαλείας, ενώ προσωπικά δεδομένα χρηστών από άλλες ιστοσελίδες, όπως οδοντιατρικές θέσεις εργασίας και η Japanese International Dental Conference, επίσης διέρρευσαν, με το συνολικό αριθμό των προσωπικών δεδομένων που εκτίθενται να φτάνει τα 23.000.

Στην περίπτωση της 「ななつ星Gallery」 (Gallery του Νανατσου Άστρου)

Στις 12 Απριλίου, στον ιστότοπο τηλεπωλήσεων σχετικών προϊόντων του κρουαζιερόπλοιου τρένου 「ななつ星in九州」 (Νανατσου Άστρου στο Κιούσου) της εταιρείας Kyushu Passenger Railway Co., Ltd., σημειώθηκε παράνομη πρόσβαση στην 「ななつ星Gallery」 (Gallery του Νανατσου Άστρου), με αποτέλεσμα τη διαρροή προσωπικών δεδομένων πελατών, συμπεριλαμβανομένων πληροφοριών πιστωτικών καρτών. Για 3.086 μέλη που είχαν καταχωρήσει πληροφορίες πιστωτικών καρτών, υπάρχει επίσης η πιθανότητα να έχουν διαρρεύσει και οι κωδικοί ασφαλείας τους, ενώ για άλλα 5.120 μέλη που δεν είχαν καταχωρήσει πληροφορίες καρτών και για χρήστες που απλώς χρησιμοποίησαν τον ιστότοπο, ανακοινώθηκε ότι υπάρχει επίσης πιθανότητα διαρροής πληροφοριών.

Στην περίπτωση της υπηρεσίας έρευνας αγοράς «Αν και Κέιτ»

Στις 23 Μαΐου, στην υπηρεσία έρευνας αγοράς «Αν και Κέιτ», την οποία διαχειρίζεται η εταιρεία Marketing Applications Inc., σημειώθηκε παράνομη πρόσβαση λόγω εκμετάλλευσης ευπάθειας του διακομιστή. Προσωπικά δεδομένα από 770,074 εγγεγραμμένους λογαριασμούς διέρρευσαν, περιλαμβάνοντας πληροφορίες όπως διευθύνσεις email, φύλο, επάγγελμα, τόπος εργασίας, καθώς και σχετικές με τραπεζικούς λογαριασμούς.

Στην περίπτωση του «Ιαπωνικού Yamada Webcom & Yamada Mall»

Στις 29 Μαΐου, στο «Ιαπωνικό Yamada Webcom & Yamada Mall» που διαχειρίζεται η Κοινωνία Ηλεκτρικών Ειδών Yamada, σημειώθηκε παράνομη πρόσβαση και η εφαρμογή πληρωμών υπέστη τροποποιήσεις. Κατά τη διάρκεια του συμβάντος, διέρρευσαν μέχρι και 37.832 καταχωρήσεις πληροφοριών πελατών.

Στην περίπτωση της Κάρτας ΙΟΝ

Στις 13 Ιουνίου, σημειώθηκε περιστατικό παράνομης πρόσβασης μέσω επίθεσης με λίστα κωδικών στις κάρτες ΙΟΝ της εταιρείας ΙΟΝ Κρεντιτ Σέρβις (AEON Credit Service Co., Ltd.). Επιβεβαιώθηκε ότι 1917 λογαριασμοί ήταν εκτεθειμένοι σε πιθανή παράνομη πρόσβαση, ενώ σε 708 από αυτούς πραγματοποιήθηκε παράνομη είσοδος, με αποτέλεσμα την παράνομη χρήση περίπου 22 εκατομμυρίων γιεν (περίπου 220.000 ευρώ). Οι δράστες φαίνεται ότι εξαπέλυσαν επίθεση με λίστα κωδικών στην επίσημη ιστοσελίδα “ΙΟΝ Σκουέαρ” (ION Square), αποκτώντας παράνομα πρόσβαση σε πληροφορίες χρηστών, άλλαξαν τα στοιχεία επικοινωνίας των χρηστών μέσω της λειτουργίας αλλαγής εγγραφής της επίσημης εφαρμογής και χρησιμοποίησαν τα κεφάλαια μέσω της λειτουργίας συνδεδεμένων πληρωμών.

Στην περίπτωση της εφαρμογής “Vpass” της Ιαπωνικής Mitsui Sumitomo Card

Στις 23 Αυγούστου, η εταιρεία Ιαπωνική Mitsui Sumitomo Card Co., Ltd. ανακοίνωσε ότι υπήρξε πιθανότητα παράνομης εισβολής σε μέγιστο αριθμό 16.756 περιπτώσεων πληροφοριών ID πελατών μέσω της εφαρμογής για smartphones “Vpass”. Η παράνομη πρόσβαση επιβεβαιώθηκε μέσω της τακτικής επιτήρησης που διενεργεί η εταιρεία και, μετά από έρευνα για την αιτία, διαπιστώθηκε ότι η πλειοψηφία των περίπου 5 εκατομμυρίων προσπαθειών σύνδεσης δεν αφορούσε σε λογαριασμούς που ήταν εγγεγραμμένοι στην υπηρεσία, γεγονός που υποδηλώνει μια επίθεση με χρήση λίστας κωδικών πρόσβασης.

Στην περίπτωση του «J-Coin Pay» της Τράπεζας Mizuho

Στις 4 Σεπτεμβρίου, η εταιρεία Mizuho Financial Group (Τράπεζα Mizuho) ανακοίνωσε ότι ένα δοκιμαστικό σύστημα διαχείρισης των συνεργαζόμενων καταστημάτων της υπηρεσίας «J-Coin Pay» υπέστη παράνομη πρόσβαση και ως αποτέλεσμα, πληροφορίες για 18.469 συνεργαζόμενα καταστήματα διέρρευσαν.

Στην περίπτωση του «10mois WEBSHOP»

Στις 19 Σεπτεμβρίου, η ιαπωνική εταιρεία με περιορισμένη ευθύνη Ficelle ανακοίνωσε ότι ο διαδικτυακός κατάστημα «10mois WEBSHOP» υπέστη παράνομη πρόσβαση, με αποτέλεσμα τη διαρροή 108.131 εγγραφών προσωπικών πληροφοριών πελατών και 11.913 εγγραφών πληροφοριών πιστωτικών καρτών. Οι πληροφορίες των πιστωτικών καρτών περιλάμβαναν επίσης τους κωδικούς ασφαλείας.

Στην επίσημη ιστοσελίδα της Kyoto Ichi no Tsuta

Στις 8 Οκτωβρίου, η επίσημη ιστοσελίδα της εταιρείας Kyoto Ichi no Tsuta, γνωστή για τα προϊόντα της όπως το δυτικό κυότο τσουκέμονο, δέχθηκε μια παράνομη πρόσβαση και το φόρμα πληρωμής της τροποποιήθηκε. Αποκαλύφθηκε ότι διέρρευσαν πληροφορίες πιστωτικών καρτών που περιλαμβάνουν τον κωδικό ασφαλείας, συνολικά 18.855 καταχωρήσεις, καθώς και πληροφορίες μελών και ιστορικό αποστολών, συνολικά 72.738 καταχωρήσεις.

Στην περίπτωση του “Σόπινγκ με Zojirushi”

Στις 5 Δεκεμβρίου, η εταιρεία Zojirushi Mahoubin Co., Ltd. ανακοίνωσε ότι στην υπηρεσία “Σόπινγκ με Zojirushi” πραγματοποιήθηκε μια παράνομη πρόσβαση, και υπάρχει η πιθανότητα να έχουν διαρρεύσει έως και 280.052 πελατικά δεδομένα. Η παράνομη πρόσβαση φαίνεται να οφείλεται σε ευπάθεια μέσα στον ιστότοπο, και η εταιρεία έχει αναστείλει τη δημοσίευση του ιστότοπου για αγορές από τις 4 Δεκεμβρίου και μετά.

Στην περίπτωση της υπηρεσίας ηλεκτρονικών μυθιστορημάτων «Νόβελμπα»

Στις 25 Δεκεμβρίου, η υπηρεσία ηλεκτρονικών μυθιστορημάτων «Νόβελμπα», που διαχειρίζεται η εταιρεία Μπι Γκρι (株式会社ビーグリー), δέχθηκε μια παράνομη προσπάθεια πρόσβασης, κατά την οποία διέρρευσαν προσωπικά δεδομένα 33.715 εγγεγραμμένων χρηστών, συμπεριλαμβανομένων των διευθύνσεων email τους. Επιπλέον, για 76 χρήστες που είχαν εγγραφεί στο πρόγραμμα αμοιβών, υπάρχει επίσης η πιθανότητα διαρροής των πληροφοριών των λογαριασμών τους, κάτι που αυξάνει τον κίνδυνο δευτερογενών ζημιών.

Συνοπτικά

Η λήψη κατάλληλων μέτρων για την πρόληψη διαρροής και απώλειας πληροφοριών αποτελεί σημαντικό ζήτημα για όλους τους οργανισμούς και επιχειρήσεις που χειρίζονται προσωπικά δεδομένα. Ειδικά για τις μικρές επιχειρήσεις, οι οποίες συχνά διαθέτουν λιγότερα κεφάλαια και ανθρώπινους πόρους σε σύγκριση με τις εισηγμένες εταιρείες, μια διαρροή πληροφοριών μπορεί να προκαλέσει καταστροφικές συνέπειες στη διοίκηση. Η ανάπτυξη μέτρων ασφαλείας και η δημιουργία ενός συστήματος διαχείρισης πληροφοριών είναι απαραίτητη. Με την αυξανόμενη σημασία των προσωπικών δεδομένων στο πλαίσιο της εκμετάλλευσης των Big Data, η ανάγκη για αυστηρά μέτρα ασφαλείας και διαχείρισης πληροφοριών απέναντι σε πιο πολύπλοκες και εξελιγμένες μορφές παράνομης πρόσβασης αποτελεί έναν ουσιαστικό πυλώνα της διαχείρισης κινδύνων.