MONOLITH LAW OFFICE+81-3-6262-3248Weekdays 10:00-18:00 JST

MONOLITH LAW MAGAZINE

General Corporate

2019. aasta isikuandmete lekke- ja kadumisjuhtumite trendid

General Corporate

2019. aasta isikuandmete lekke- ja kadumisjuhtumite trendid

Vastavalt Tokyo Kaubandus- ja Tööstusuuringutele avaldasid 2019. aastal 66 börsiettevõtet ja nende tütarettevõtted isikuandmete lekkeid ja kadumisi. Õnnetuste arv oli 86 ja lekkinud isikuandmeid oli kokku 9 031 734 inimese jagu. 2019. aastal toimus kaks suurt õnnetust, kus lekkis üle miljoni isikuandme. Jaekaubanduse hiiglane Seven & I Holdings oli sunnitud lõpetama oma makseteenuse “7pay (Seven Pay)” pärast selle ebaseaduslikku kasutamist, mis tõi taas esile turvameetmete olulisuse.

Takufairu Bini juhtum

Osaka Gasi 100% tütarettevõte, Ojis Soken, mis pakkus failiedastusteenust nimega “Takufairu Bin”, avastas 2019. aasta 22. jaanuaril, et serveris on kahtlane fail, mis viitas infolekkele. Lisauuringud kinnitasid kahtlaste juurdepääsulogide olemasolu ning kahju vältimiseks peatati teenus 23. päeval, avaldati esimene teade ja 25. päeval kinnitati infolekke toimumist.

Lekkinud juhtumite arv oli 4 815 399 (tasulised liikmed 22 569: tasuta liikmed 4 753 290: lahkunud liikmed 42 501), lekkinud info hõlmas nimesid, sisselogimiseks kasutatavaid e-posti aadresse, sisselogimisparoole, sünniaegu, sugu, ametit / tööstust / ametikohta, elukohta jne. See lekete arv on teisel kohal ajaloolises mõttes, järgnedes Benesse’i 2014. aasta juhtumile, kus lepinguline töötaja omandas ebaseaduslikult 35,04 miljoni kliendi isikuandmeid.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Pärast seda juhtumit kaalus Ojis Soken turvalisuse kontrollimist ja tugevdamist ning teenuse taastamist, kuid süsteemi ümberkorraldamise väljavaated ei olnud selged ja 2020. aasta 31. märtsil (2020. aasta) teatati teenuse lõpetamisest 14. jaanuaril.

Kui kasutate “Takufairu Bini” registreerimiseks sama e-posti aadressi ja sisselogimisparooli ning sama kasutaja ID-d (e-posti aadress) ja sisselogimisparooli muude veebiteenuste kasutamiseks, on oht, et lekkeinfo saanud kolmandad isikud võivad teha ebaseadusliku sisselogimise või nn “pettuse” kaudu juurdepääsu.

Toyota Mobility ettevõtte juhtum

2019. aasta isikuandmete lekete ja kadumise suundumused
Tutvustame Toyota Mobility ettevõtte juhtumit.

Toyota autode müügialane tütarettevõte Toyota Mobility sai 21. märtsil 2019 (2019. aasta) küberrünnaku, mille tulemusena võis süsteemi aluseks olevate seotud müügiettevõtete, kokku kaheksa, võrguserveritest lekkida kuni 3,1 miljonit isikuandmet. Õnneks teatati, et krediitkaardi andmed ei lekkinud, seega võib otsene rahaline kahju olla väike. Kuid kuna need on autoostjate andmed, võivad need nimekirjade haldajate seas kõrge hinnaga kaubelda ja kahju ei pruugi olla välistatud.

Hoolimata asjaolust, et Toyota Mobility on saanud privaatsusmärgi (P-märk), on see isikuandmete lekke probleemiks muutunud, mis seab tulevaste turvameetmete valiku oluliseks. Lisaks võib öelda, et see isikuandmete leke tõestab, et seniseid turvameetmeid ei saa vältida. On vaja realiseerida isikuandmete kaitse haldussüsteem, mis on kõrgemal tasemel kui privaatsusmärgi (P-märk) saanud turvasüsteem.

Nagu Benesse’i juhtumil, kui tulevast isikuandmete kaitse haldussüsteemi peetakse ebapiisavaks, võib privaatsusmärk (P-märk) kehtetuks muutuda. Kui privaatsusmärk (P-märk) muutub kehtetuks, võib usaldusväärsus kaduda, mis on suur probleem.

Seitsme makse (7pay) juhtum

Seitsme & I Holdingsi poolt kasutusele võetud makseteenus “7pay” sai 2019. aasta 2. juulil (Heisei 31) päev pärast teenuse käivitamist kasutajatelt päringuid “tehingute kohta, mida nad ei mäleta”. 3. juulil viidi läbi sisemine uurimine, mis paljastas ebaseadusliku kasutamise.

Krediitkaartide ja deebetkaartide laadimine peatati kohe, alates 4. juulist peatati ka uute teenuste registreerimine ning samal päeval otsustati kõik laadimised ajutiselt peatada.

Illegaalse juurdepääsu tõttu oli ohvrite arv 808 ja kahju summa oli 38 615 473 jeeni. Ebaseadusliku juurdepääsu meetodiks peeti suure tõenäosusega nimekirjapõhist rünnakut. Nimekirjapõhine rünnak on meetod, kus masin sisestab automaatselt ID-sid ja paroole, mis on varem lekkinud teistelt ettevõtetelt internetis. Seda on proovitud vähemalt kümneid miljoneid kordi ja edukate sisselogimiste arv ületab 808 juhtumit, kus toimus ebaseaduslik kasutamine. Põhjused, miks nimekirjapõhist kontohäkkimist ei suudetud ära hoida, hõlmavad mitme seadme sisselogimise vastu võetud meetmete, kaheastmelise autentimise ja muude täiendavate autentimiste ning süsteemi terviklikkuse piisava kontrollimise puudumist.

1. augustil korraldas Seven & I Holdings Tokyos erakorralise pressikonverentsi ja teatas, et “7pay” lõpetab teenuse 30. septembril kell 24.00. Teenuse lõpetamise põhjused on järgmised:

  • 7pay teenuse, sealhulgas laadimise, taaskäivitamiseks on vaja põhjalikke meetmeid, mis nõuavad märkimisväärset aega
  • Kui teenust jätkata, oleks see ainult “kasutamine (maksmine)”, mis on puudulik vorm
  • Kliendid on endiselt mures selle teenuse pärast

Seven & I Holdingsi veebiturvalisuse teadlikkus ja grupisisese koostöö puudumine tulid üksteise järel välja, mis sundis neid erakordselt lühikese aja jooksul tagasi tõmbuma. See on juhtum, kus jaemüügi suurettevõtte komistamine on tekitanud muret valitsuse poolt propageeritud sularahavaba makse suhtes.

Uniqlo juhtum

2019. aasta isikuandmete lekke ja kadumise trendid
Tutvustame juhtumit, mis tekkis Uniqlo veebisaidil.

10. mail 2019 kinnitati, et Uniqlo poolt haldataval veebipoe saidil toimus kasutaja enda poolt mitte teostatud ebaseaduslik sisselogimine.

23. aprillist kuni 10. maini toimusid nimekirjapõhised rünnakud, mille tulemusena logiti ebaseaduslikult sisse 461 091 kontole, mis olid registreeritud Uniqlo ametlikus veebipoes ja GU ametlikus veebipoes. Võimalik, et vaadati läbi järgmised kasutajate isikuandmed: nimi, aadress (postiindeks, linn, maakond, küla, maja number, toa number), telefoninumber, mobiiltelefoninumber, e-posti aadress, sugu, sünniaeg, ostuajalugu, nimi ja suurus, mis on registreeritud “Minu suurus” sektsioonis, ning osa krediitkaardi infost (kaardi omaniku nimi, kehtivusaeg, osa krediitkaardi numbrist).

Ebaseadusliku sisselogimise katsete allikas tuvastati ja juurdepääs blokeeriti. Lisaks suurendati jälgimist ka teiste juurdepääsude osas. Kasutaja ID-d, mille puhul on võimalik, et isikuandmeid vaadati, deaktiveeriti 13. mail ning kasutajatele saadeti e-kirjad palvega paroolid uuesti seadistada. Samuti teatati juhtumist Jaapani politseile.

See juhtum on märkimisväärne, kuna lekkisid mitte ainult põhilised isikuandmed nagu nimi, aadress, telefoninumber, mobiiltelefoninumber, e-posti aadress ja sünniaeg, vaid ka privaatsed andmed nagu ostuajalugu ja “Minu suurus” sektsioonis registreeritud nimi ja suurus. See on ebameeldiv ja tekitab ebakindlust.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Kanagawa maakonna ameti juhtum

Selgus, et 6. detsembril 2019 (2019) lekkis Kanagawa maakonna ametis kasutatud HDD (kõvaketas) müügi tõttu administratiivdokumentide ja muu isikuandmeid sisaldava teabe. Kanagawa maakond ja Fujitsu Lease, kes on sõlminud serverite jms rendilepingu, eemaldasid kevadel 2019 serveritest HDD-d ja usaldasid kõrvaldamise taaskasutusettevõttele. Selle ettevõtte töötaja viis osa HDD-st välja ja müüs selle Yahoo oksjonil algseisundis. IT-ettevõtte juht, kes ostis neist üheksa, kontrollis sisu ja avastas andmed, mis tundusid olevat Kanagawa maakonna ametlikud dokumendid. Ta andis teavet ajalehele ja ajaleht kinnitas maakonnalt lekke.

Maakonna teatel 6. päeva hommikul viidi kokku 18 HDD-d, millest üheksa on juba tagasi saadud ja ülejäänud üheksa on samuti tagasi saadud. Lekkinud on isikunimede ja ettevõttenimede maksuteatised, ettevõttenimede maksuinspektsioonijärgsed teatised, autode maksudeklaratsioonid, millel on märgitud isikunimed ja aadressid, ettevõtete esitatud dokumendid, maakonna töötajate tööaruanded ja nimekirjad ning muud isikuandmeid sisaldavad andmed. Kuna iga väljavõetud HDD-l on 3TB salvestusmaht, võib 18 seadme puhul lekkida kuni 54TB andmeid.

Kanagawa maakonnas oli:

  • Failiserver, kus hoitakse administratiivdokumente jms, ei olnud piisavalt uuritud riistvara taseme krüptimist ja see oli konfigureeritud andmete salvestamiseks algkujul
  • Kui olulisi andmeid sisaldav seade tagastatakse rendifirmale, tuleb andmed kustutada algseadistamise teel ja seejärel peab rendifirma andmed kustutama. Kuid selle kinnitustunnistust ei ole saadud
  • Recycling company, millest isegi vastutav töötaja ei olnud teadlik, viis läbi rendiseadmete äravõtmise

Ja algelised vead, Fujitsu Lease’il oli:

  • Seadme hävitamise (taaskasutuse) osas oli see täielikult taaskasutusettevõttele delegeeritud
  • Rendilepingus oli ette nähtud, et maakonnale tuleb esitada tunnistus, mis näitab, et andmed on täielikult kustutatud, kuid taaskasutusettevõttele ei olnud tunnistuse väljaandmist taotletud

Ja jällegi olid algelised vead. Taaskasutusettevõtte osas pole vaja arutada.

Arvan, et kolme osaleva organisatsiooni ühine turvalisusega seotud kriisiteadvuse puudumine ja vastutustundetu delegeerimise mentaliteet on toonud kaasa sellise kehva tulemuse.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Muud ebaseadusliku juurdepääsu juhtumid

2019. aasta isikuandmete lekke ja kadumise suundumused
Ebaseadusliku juurdepääsu tõttu toimuvad õnnetused suurenevad aasta-aastalt, seega on turvameetmete ja infohalduse süsteemi loomine tuleviku ülesanne.

Õnnetused, mis on põhjustatud ebaseaduslikust juurdepääsust ja millel on suur mõju ning lai ulatus, suurenevad aasta-aastalt. 2019. aastal (2019. aasta Gregooriuse kalendris) tekkis Tokyo Kaubandus- ja Tööstusuuringute (Jaapani Tokyo Shōkō Kenkyū) alustatud uuringute ajal kaheksa aasta jooksul rekordilised 41 juhtumit (32 ettevõtet). See moodustas peaaegu poole 86-st 2019. aasta isikuandmete lekke ja kadumise juhtumist, lekke- ja kadumisjuhtumite arv oli 8 902 078, mis moodustas 98,5% kogu 2019. aasta juhtumitest (9 031 734). Lisaks ülaltoodud juhtumitele ilmnes 2019. aastal palju ebaseaduslikke juurdepääsujuhtumeid, sealhulgas järgmised näited.

Autotarvete müügiettevõtte puhul

26. veebruaril toimus autotarvete müügiga tegeleva aktsiaseltsi Hase-Pro poolt hallatavas veebipoes turvanõrkuse ärakasutamine ja ebaseaduslik juurdepääs. Kasutajatele kuvati võlts makseleht ja seeläbi lekkisid kasutajate sisestatud krediitkaardi andmed.

“HambaraviRaamat.com” juhtum

25. märtsil toimus Quintessence Publishing Co., Ltd., mis on hambaarstidele spetsialiseerunud kirjastus, poolt haldatava “HambaraviRaamat.com” veebiserverisse ebaseaduslik juurdepääs, mille tulemusena lekkisid saidi kasutajate isikuandmed. Krediitkaardimakseid kasutanud klientide puhul lekkisid ka krediitkaardi andmed, sealhulgas turvakoodid. Lisaks lekkisid ka hambaarstide tööotsingusaidi ja Jaapani Rahvusvahelise Hambaravi Kongressi kasutajate isikuandmed, kokku kuni 23 000 isikuandmete kirjet.

“Nanatsuboshi Gallery” juhtum

12. aprillil toimus Kyushu Passenger Railway Co. kruiisirongi “Nanatsuboshi in Kyushu” seotud toodete postimüügi veebisaidil “Nanatsuboshi Gallery” ebaseaduslik juurdepääs, mille tulemusena lekkisid klientide isikuandmed, sealhulgas krediitkaardi info. On võimalik, et 3086 liikme registreeritud krediitkaardi info hulgas on ka turvakoodid. Lisaks teatati, et ka 5120 liikme, sealhulgas need, kes ei ole krediitkaardi infot registreerinud, ja teised saidi kasutajad, võivad olla andmelekke ohvrid.

Küsitlusmonitori teenuse “An ja Kate” näide

23. mail toimus turvahaavatavust ära kasutades ebaseaduslik juurdepääs küsitlusmonitori teenusele “An ja Kate”, mida haldab Marketing Applications Inc. Kuigi lekkis 770 740 registreeritud konto isikuandmeid, sisaldas see e-posti aadresse, sugu, ametit, töökohta ja pangakonto seotud teavet.

Yamada Webcom ja Yamada Malli juhtum

29. mail toimus ettevõtte Yamada Denki poolt haldatavas Yamada Webcom ja Yamada Mallis ebaseaduslik juurdepääs. Makserakendus oli muudetud ja selle tulemusena lekkis kuni 37 832 kliendiandmete kirjet, mis olid registreeritud selle perioodi jooksul.

Aeon kaardi puhul

13. juunil tekkis Aeon Credit Service Co., Ltd. Aeon kaardil parooliloendi rünnaku tõttu ebaseaduslik sisselogimine. Kinnitati, et 1917 kontol oli võimalik ebaseaduslikult sisse logida, millest 708 puhul toimus ebaseaduslik sisselogimine, ja teatati, et kokku tekkis umbes 22 miljoni jeeni ulatuses ebaseadusliku kasutamise kahju. Ründaja kasutas parooliloendi rünnakut ametlikul veebisaidil “Aeon Square”, et ebaseaduslikult kasutajakonto teavet hankida, muutis ametliku rakenduse registreerimisteabe muutmise funktsiooni abil teise kontakti ja kasutas raha maksefunktsiooni kaudu.

Mitsui Sumitomo kaardi “Vpass rakenduse” juhtum

Kaardipettused põhjustavad samuti kahju.

23. augustil teatas Mitsui Sumitomo Card Co., Ltd., et nende liikmetele mõeldud nutitelefoni rakenduses “Vpass” võib olla ebaseaduslikult sisenenud kuni 16 756 kliendi ID-teavet. Ettevõte tuvastas ebaseadusliku juurdepääsu oma regulaarse jälgimisuuringu käigus ja uuris põhjust. Leiti, et suurem osa umbes 5 miljonist sisselogimiskatsest ei olnud registreeritud nende teenusesse, mis viitab parooliloendi tüüpi rünnakule.

Mizuho Panga “J-Coin Pay” juhtum

4. septembril teatas Mizuho Financial Group (Mizuho Pank), et nende teenusepakkumise süsteem “J-Coin Pay” sai ebaseadusliku juurdepääsu osaliseks. Selle tulemusena lekkis 18 469 J-Coini liikmeinfo kirjet.

“10mois WEBSHOP” juhtum

19. septembril teatas Ficel Co., Ltd., et nende veebipoodi “10mois WEBSHOP” tabas ebaseaduslik juurdepääs, mille tagajärjel lekkis 108,131 kliendi isikuandmete kirjet ja 11,913 krediitkaardi andmete kirjet. Krediitkaardi andmete hulgas oli ka turvakoodid.

Kyoto Ichinoden’i ametliku veebisaidi juhtum

8. oktoobril toimus ebaseaduslik juurdepääs Kyoto Ichinoden’i, tuntud ka kui Nishikyo-tsukemono, ametlikule veebisaidile, mille tulemusena muudeti maksevormi. Leke hõlmas 18 855 krediitkaardi andmete komplekti, sealhulgas turvakoodid, ning 72 738 liikmeandmete ja saatmisajaloo kirjet.

Zojirushi Shoppingu juhtum

5. detsembril teatas Zojirushi Mahoubin Co., Ltd., et nende poolt haldatavale veebipoele “Zojirushi Shopping” tehti ebaseaduslik juurdepääs, mille tulemusena võis lekkida kuni 280 052 kliendi andmete kirjet. Ebaseadusliku juurdepääsu põhjuseks peetakse veebisaidi haavatavust ning ettevõte on alates 4. detsembrist veebipoe avalikustamise peatanud.

Elektroonilise romaani teenuse “Novelba” juhtum

25. detsembril toimus ebaõiglane juurdepääs elektroonilise romaani teenusele “Novelba”, mida haldab Beeglee Inc., mille tulemusena lekkis 33 715 isikuandmete kirjet, sealhulgas registreeritud kasutajate e-posti aadressid. Lisaks on võimalik, et 76 kasutaja pangaandmed, kes olid registreeritud preemiaprogrammi, võivad samuti lekkida, mis võib põhjustada sekundaarseid kahjustusi.

Kokkuvõte

Asjakohased meetmed infolekete ja kadumise vältimiseks on muutunud oluliseks küsimuseks kõigis organisatsioonides ja ettevõtetes, mis tegelevad isikuandmetega. Eriti väikeettevõtetes, kus rahalised ja inimressursid on piiratud võrreldes börsiettevõtetega, võib lekkeõnnetus tekitada juhtimisele saatusliku kahju. Turvameetmete rakendamine ja infohaldussüsteemi loomine on hädavajalikud. Suurandmete kasutuselevõtu taustal on isikuandmete tähtsus veelgi suurenenud. Samal ajal on arenenud ja keerukad turvameetmed ebaõigete juurdepääsude vastu ning range infohaldus on riskijuhtimise oluliseks eelduseks.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Return to Top