Tendencias en incidentes de filtración y pérdida de información personal en el año 2019 (Año 31 de la era Heisei)
Según Tokyo Shoko Research, en 2019, 66 empresas cotizadas y sus filiales anunciaron incidentes de filtración y pérdida de información personal. El número de incidentes fue de 86, y la cantidad de información personal filtrada alcanzó los 9.031.734 individuos. En 2019, hubo dos incidentes importantes en los que se filtró más de un millón de registros de información personal. El servicio de pago ‘7pay’ introducido por el gigante minorista Seven & I Holdings fue forzado a cerrar debido a su uso fraudulento, destacando una vez más la importancia de las medidas de seguridad.
En el caso de “Takuhai File Bin”
El 22 de enero de 2019, se descubrió una fuga de información en el servicio de transferencia de archivos “Takuhai File Bin”, desarrollado por OGIS Research Institute, una subsidiaria 100% de Osaka Gas. Se encontró un archivo sospechoso en el servidor, y tras una investigación adicional, se confirmaron registros de acceso sospechosos. Para prevenir más daños, el servicio se detuvo el 23 de enero y se emitió un primer informe. El 25 de enero, se confirmó la fuga de información.
El número de casos de fuga fue de 4,815,399 (22,569 miembros de pago, 4,753,290 miembros gratuitos, 42,501 ex miembros), y la información filtrada incluía nombres, direcciones de correo electrónico para iniciar sesión, contraseñas, fechas de nacimiento, género, ocupación/industria/posición, y el nombre de la prefectura de residencia. Este número de casos de fuga es el segundo más alto en la historia, después de la adquisición ilegal de información personal de 35.04 millones de personas por un empleado subcontratado en Benesse en 2014.
Posteriormente, OGIS Research Institute consideró la recuperación y fortaleció la seguridad, pero no se pudo prever la reconstrucción del sistema, y se anunció el 14 de enero de 2020 que el servicio se terminaría el 31 de marzo de 2020.
Si está utilizando otros servicios web con la misma dirección de correo electrónico y contraseña registradas en “Takuhai File Bin”, existe el riesgo de que un tercero que haya obtenido la información filtrada inicie sesión ilegalmente en esos servicios web, o acceda a ellos mediante la suplantación de identidad.
El caso de Toyota Mobility
Toyota Mobility, una subsidiaria de ventas de Toyota Motor, sufrió un ciberataque el 21 de marzo de 2019 (año 31 de la era Heisei). Se anunció que un total de ocho empresas de ventas relacionadas, que comparten la misma infraestructura de sistemas, fueron atacadas, y que hasta 3.1 millones de registros de información personal podrían haberse filtrado desde el servidor de red. Afortunadamente, se ha anunciado que la información de las tarjetas de crédito no se ha filtrado, por lo que es posible que el incidente no evolucione directamente en problemas financieros. Sin embargo, se trata de información de clientes que compraron automóviles, por lo que existe la posibilidad de que se esté negociando a precios altos entre los operadores de listas, y no se puede garantizar que no se produzcan daños.
A pesar de haber obtenido la Marca de Privacidad (P Mark, ‘Japanese Privacy Mark’), Toyota Mobility se enfrenta a decisiones importantes en términos de medidas de seguridad en el futuro, ya que este incidente ha llevado a problemas de filtración de información personal. Además, la filtración de información personal en este caso demuestra que las medidas de seguridad existentes no han podido prevenirla. Es probable que sea necesario implementar un sistema de gestión de protección de información personal de un nivel más alto que el sistema de seguridad que ha obtenido la Marca de Privacidad (P Mark).
Como en el caso de Benesse, si se determina que el sistema de gestión de protección de información personal no es suficiente en el futuro, podría resultar en la pérdida de la Marca de Privacidad (P Mark). Si se pierde la Marca de Privacidad (P Mark), existe el riesgo de perder la confianza, lo que sería un gran problema.
El caso de “7pay (セブンペイ)”
El servicio de pago “7pay” introducido por Seven & i Holdings recibió consultas de los usuarios el día después de su lanzamiento, el 2 de julio de 2019 (año 31 de la era Heisei), diciendo que había transacciones que no reconocían. El 3 de julio, se llevó a cabo una investigación interna y se descubrió un uso fraudulento.
Inmediatamente se suspendieron temporalmente los cargos desde tarjetas de crédito y débito, y desde el 4 de julio, también se suspendió temporalmente el registro de nuevos servicios. Ese mismo día, se decidió suspender temporalmente todos los cargos.
Se anunció que el número de víctimas de acceso no autorizado era de 808 y el monto del daño era de 38,615,473 yenes. Se consideró que el método de acceso no autorizado era probablemente un ataque de tipo lista. Un ataque de tipo lista es un método que introduce automáticamente ID y contraseñas que se habían filtrado en línea desde otras empresas en el pasado. Se dice que se intentó al menos decenas de millones de veces, y el número de inicios de sesión exitosos superó las 808 incidencias de uso fraudulento. Las razones por las que no se pudo prevenir el hacking de cuentas de tipo lista incluyen la falta de medidas adecuadas contra el inicio de sesión desde múltiples dispositivos, la falta de consideración de autenticación adicional como la autenticación de dos factores, y la incapacidad para verificar adecuadamente la optimización de todo el sistema.
El 1 de agosto, Seven & i Holdings celebró una conferencia de prensa de emergencia en Tokio y anunció que “7pay” terminaría a las 24:00 del 30 de septiembre. Las siguientes tres razones se citan para la discontinuación del servicio:
- Se espera que se necesite un tiempo considerable para completar las medidas radicales necesarias para reanudar todos los servicios, incluyendo los cargos, en 7pay.
- Si se continuara el servicio durante ese tiempo, tendría que ser en una forma incompleta, es decir, “sólo para uso (pago)”.
- Los clientes todavía tienen preocupaciones sobre este servicio.
La falta de conciencia sobre la seguridad en Internet de Seven & i Holdings y la mala coordinación dentro del grupo se han revelado una tras otra, lo que ha llevado a un retiro inusualmente rápido. El tropiezo de un gran distribuidor ha llevado a la ansiedad sobre los pagos sin efectivo, que el gobierno está promoviendo.
El caso de Uniqlo
El 10 de mayo de 2019, se confirmó que se había producido un inicio de sesión no autorizado por parte de terceros en el sitio de la tienda en línea operado por Uniqlo.
Desde el 23 de abril hasta el 10 de mayo, el número de cuentas que fueron accedidas de manera no autorizada mediante un ataque de tipo lista fue de 461,091, registradas en la tienda oficial en línea de Uniqlo y GU. La información personal de los usuarios que podría haber sido vista incluye: nombre, dirección (código postal, ciudad, distrito, pueblo, número de casa, número de habitación), número de teléfono, número de teléfono móvil, dirección de correo electrónico, género, fecha de nacimiento, historial de compras, nombre y tamaño registrados en “Mi tamaño”, y parte de la información de la tarjeta de crédito (nombre del titular, fecha de vencimiento, parte del número de la tarjeta de crédito).
Se identificó y bloqueó el origen de la comunicación donde se intentó el inicio de sesión no autorizado, y se intensificó la vigilancia de otros accesos. Sin embargo, para las ID de usuario que podrían haber tenido su información personal vista, se desactivaron las contraseñas el 13 de mayo y se contactó individualmente a cada usuario por correo electrónico para solicitar el restablecimiento de la contraseña. Además, se informó de este incidente a la Policía Metropolitana de Tokio.
Este caso es notable y preocupante no solo porque se filtró información personal básica como nombre, dirección, número de teléfono, número de teléfono móvil, dirección de correo electrónico y fecha de nacimiento, sino también información privada como el historial de compras y el nombre y tamaño registrados en “Mi tamaño”.
https://monolith.law/reputation/personal-information-and-privacy-violation[ja]
Caso de la Prefectura de Kanagawa
Se descubrió el 6 de diciembre de 2019 que la información, incluyendo documentos administrativos y datos personales, se había filtrado debido a la reventa de un HDD (Disco Duro) que se utilizaba en la Prefectura de Kanagawa. La Prefectura de Kanagawa y Fujitsu Lease, que tiene un contrato de arrendamiento para servidores, retiraron el HDD de los servidores que habían arrendado en la primavera de 2019 y encargaron su disposición a una empresa de reciclaje. Un empleado de esta empresa se llevó parte del HDD y lo revendió en Yahoo Auctions sin inicializarlo. Un hombre que dirige una empresa de TI compró nueve de estos y al revisar su contenido, descubrió datos que parecían ser documentos oficiales de la Prefectura de Kanagawa. Informó a un periódico, que confirmó con la prefectura, revelando la filtración.
Según el anuncio de la prefectura el 6 de diciembre, se llevaron un total de 18 HDD, nueve de los cuales ya se habían recuperado, y los otros nueve también se recuperaron posteriormente. Los datos filtrados incluyen notificaciones de impuestos con nombres de individuos y empresas, notificaciones después de las inspecciones fiscales con nombres de empresas, registros de pago de impuestos de vehículos con nombres y direcciones de individuos, documentos presentados por empresas, registros de trabajo y listas de empleados de la prefectura, etc. Cada uno de los HDD llevados tiene una capacidad de almacenamiento de 3TB, por lo que un total de 54TB de datos podrían haberse filtrado con 18 unidades.
La Prefectura de Kanagawa cometió errores básicos como:
- No considerar suficientemente la encriptación a nivel de hardware para el servidor de archivos donde se almacenan los documentos administrativos, y configurarlo para almacenar datos en bruto.
- A pesar de que se supone que deben eliminar todos los datos con la inicialización antes de devolver el equipo que almacena información importante a la empresa de arrendamiento, no recibieron un certificado de finalización de la eliminación de datos.
- Permitir que una empresa de reciclaje de la que no tenían conocimiento recogiera el equipo arrendado.
Y Fujitsu Lease también cometió errores básicos como:
- Delegar completamente la disposición del equipo (reciclaje) a la empresa de reciclaje.
- Aunque el contrato de arrendamiento estipulaba que debían presentar un certificado a la prefectura que demostrara que los datos habían sido completamente eliminados, no habían solicitado a la empresa de reciclaje que emitiera dicho certificado.
No hace falta decir nada sobre la empresa de reciclaje.
Creo que la falta de conciencia sobre la seguridad y la irresponsabilidad de delegar tareas en las tres organizaciones involucradas han llevado a este lamentable resultado.
https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
Otros casos de acceso no autorizado
Los incidentes causados por accesos no autorizados que tienen un gran impacto y afectan a un amplio rango están aumentando año tras año. En 2019, se produjeron un récord de 41 incidentes (en 32 empresas) en los ocho años desde que Tokyo Shoko Research comenzó su investigación. Esto representa casi la mitad de los 86 incidentes de filtración y pérdida de información en 2019, con un número de filtraciones y pérdidas de 8,902,078, que representan el 98.5% del total (9,031,734) en 2019. Además de los ejemplos mencionados anteriormente, hubo muchos accesos no autorizados revelados en 2019, incluyendo los siguientes casos.
En el caso de una empresa de venta de productos para automóviles
El 26 de febrero, se produjo un acceso no autorizado en la tienda en línea operada por la empresa japonesa de venta de productos para automóviles, Hase-Pro Co., Ltd., debido a la explotación de una vulnerabilidad en el sitio. Se mostró una pantalla de pago falsa y se filtró la información de la tarjeta de crédito ingresada por los usuarios.
El caso de “Libros de Odontología.com”
El 25 de marzo, se produjo un acceso no autorizado al servidor web de “Libros de Odontología.com”, operado por Quintessence Publishing Co., Ltd., una editorial especializada en odontología. Como resultado, se filtró la información personal de los usuarios del sitio. Para los clientes que utilizaron el pago con tarjeta de crédito, también se filtró la información de la tarjeta de crédito, incluido el código de seguridad. Además, se filtró la información personal de los usuarios de otros sitios, como sitios de empleo en odontología y la Conferencia Internacional de Odontología de Japón, con un total de hasta 23,000 registros de información personal.
Caso de “Galería de Nanatsuboshi”
El 12 de abril, se produjo un acceso no autorizado en “Galería de Nanatsuboshi”, el sitio de venta por correspondencia de productos relacionados con el tren de crucero “Nanatsuboshi en Kyushu” de la compañía de ferrocarriles de pasajeros de Kyushu, y se filtró información personal que incluye información de tarjetas de crédito de los clientes. Se anunció que existe la posibilidad de que también se incluya el código de seguridad en 3086 miembros que registraron información de tarjetas de crédito, y que también existe la posibilidad de fuga de información en relación con 5120 casos, incluyendo miembros que no registraron información de tarjetas y usuarios que utilizaron el sitio.
En el caso del servicio de encuestas “An y Kate”
El 23 de mayo, se produjo un acceso no autorizado que explotó la vulnerabilidad del servidor en el servicio de encuestas “An y Kate”, operado por la empresa Marketing Applications. Se filtró la información personal de 770,740 cuentas registradas, que incluía datos como direcciones de correo electrónico, género, profesión, lugar de trabajo e información relacionada con cuentas bancarias.
Caso de “Yamada Webcom – Yamada Mall”
El 29 de mayo, se produjo un acceso no autorizado en “Yamada Webcom – Yamada Mall”, operado por la empresa Yamada Denki. La aplicación de pago fue alterada y se filtró un máximo de 37,832 registros de información de clientes que se habían registrado durante ese período.
En el caso de la tarjeta Aeon
El 13 de junio, se produjo un inicio de sesión fraudulento en la tarjeta Aeon de Aeon Credit Service Co., Ltd. debido a un ataque de lista de contraseñas. Se confirmó que se podía iniciar sesión de manera fraudulenta en 1917 cuentas, y se produjo un inicio de sesión fraudulento en 708 de ellas, resultando en un daño total de aproximadamente 22 millones de yenes debido al uso fraudulento. Se cree que el atacante obtuvo ilegalmente la información de la cuenta del usuario al lanzar un ataque de lista de contraseñas en “Aeon Square” del sitio oficial, cambió a otro contacto utilizando la función de cambio de información de registro de la aplicación oficial, y utilizó fondos a través de la función de pago vinculada.
En el caso de la aplicación “Vpass” de la tarjeta Mitsui Sumitomo
El 23 de agosto, Mitsui Sumitomo Card Co., Ltd. anunció que podría haber habido un acceso ilegal a un máximo de 16,756 ID de clientes en su aplicación para smartphones dirigida a miembros, “Vpass App”. Se confirmó el acceso ilegal a través de la encuesta de monitoreo que la compañía realiza regularmente, y al investigar la causa, se encontró que la mayoría de los aproximadamente 5 millones de intentos de inicio de sesión no estaban registrados en el servicio, por lo que se considera un ataque de tipo lista de contraseñas.
En el caso del ‘J-Coin Pay’ del Banco Mizuho
El 4 de septiembre, el Grupo Financiero Mizuho (Banco Mizuho) anunció que el sistema de prueba relacionado con la gestión de tiendas afiliadas a ‘J-Coin Pay’, un servicio que proporcionan, sufrió un acceso no autorizado, resultando en la filtración de información de 18,469 tiendas afiliadas a J-Coin.
En el caso de “10mois WEBSHOP”
El 19 de septiembre, se anunció que la tienda en línea “10mois WEBSHOP” de la compañía de responsabilidad limitada Ficelle sufrió un acceso no autorizado, resultando en la filtración de 108,131 registros de información personal de los clientes y 11,913 registros de información de tarjetas de crédito. La información de las tarjetas de crédito incluía también códigos de seguridad.
Caso del sitio web oficial de Kyoto Ichinoden
El 8 de octubre, se produjo un acceso no autorizado al sitio web oficial de la empresa Kyoto Ichinoden, conocida por su producto Nishikyo Tsuke, y se alteró el formulario de pago. Se filtraron 18,855 registros de información de tarjetas de crédito, incluyendo códigos de seguridad, y 72,738 registros de información de miembros e historial de envíos.
Caso de “Compras con Zojirushi”
El 5 de diciembre, se anunció que se había producido un acceso no autorizado a “Compras con Zojirushi”, operado por Zojirushi Mahobin Co., Ltd., y que había la posibilidad de que se hubieran filtrado hasta 280,052 registros de información de clientes. Se cree que la causa del acceso no autorizado es una vulnerabilidad dentro del sitio, y la compañía ha suspendido la publicación del sitio de compras desde el 4 de diciembre.
Caso del servicio de novelas electrónicas “Novelba”
El 25 de diciembre, se produjo un acceso no autorizado al servicio de novelas electrónicas “Novelba”, operado por la empresa Beaglee Inc., y se filtraron 33,715 registros de información personal, incluyendo las direcciones de correo electrónico de los usuarios registrados. Además, existe la posibilidad de que también se haya filtrado la información de las cuentas de 76 usuarios que estaban registrados en el programa de recompensas, lo que podría dar lugar a daños secundarios.
Resumen
La implementación de medidas adecuadas para prevenir la filtración y pérdida de información se ha convertido en un asunto crucial para todas las organizaciones y empresas que manejan información personal. En particular, para los pequeños negocios que tienen menos recursos financieros y humanos en comparación con las empresas cotizadas, un incidente de filtración puede causar un daño fatal a la gestión. Es esencial tomar medidas de seguridad y establecer un sistema de gestión de información. Con el uso creciente de big data, la importancia de la información personal está aumentando. Al mismo tiempo, las medidas de seguridad contra el acceso no autorizado cada vez más sofisticado y la estricta gestión de la información se han convertido en una premisa importante para la gestión de riesgos.