Les tendances des incidents de fuite et de perte d'informations personnelles en 2019 (année 2019 du calendrier grégorien)
Selon Tokyo Shoko Research, en 2019 (année 31 de l’ère Heisei), 66 entreprises cotées et leurs filiales ont annoncé des incidents de fuite ou de perte de données personnelles. Le nombre d’incidents s’élevait à 86, et le nombre de données personnelles divulguées atteignait 9 031 734. En 2019, il y a eu deux incidents majeurs où plus d’un million de données personnelles ont été divulguées. Le service de paiement “7pay” introduit par le grand distributeur Seven & I Holdings a été contraint de cesser ses activités en raison d’une utilisation frauduleuse, soulignant une fois de plus l’importance des mesures de sécurité.
Cas du service “Takuhai File Bin”
Le 22 janvier 2019, une fuite d’informations a été découverte dans le service de transfert de fichiers “Takuhai File Bin”, exploité par OGIS Research Institute, une filiale à 100% d’Osaka Gas. Un fichier suspect a été trouvé sur le serveur, et des journaux d’accès suspects ont également été confirmés lors d’une enquête supplémentaire. Pour prévenir d’autres dommages, le service a été arrêté le 23 et une première annonce a été faite. Le 25, la fuite d’informations a été confirmée.
Le nombre de fuites était de 4 815 399 (22 569 membres payants, 4 753 290 membres gratuits, 42 501 membres qui ont quitté le service). Les informations divulguées comprenaient le nom, l’adresse e-mail pour la connexion, le mot de passe, la date de naissance, le sexe, la profession, l’industrie, le poste, et le nom de la préfecture de résidence. Ce nombre de fuites est le deuxième plus élevé de l’histoire, après la fuite de 35,04 millions de données personnelles par un employé contractuel de Benesse en 2014.
Par la suite, OGIS Research Institute a envisagé de restaurer le service tout en renforçant et en vérifiant la sécurité. Cependant, comme il n’y avait pas de perspective claire pour la reconstruction du système, il a été annoncé le 14 janvier 2020 que le service serait terminé le 31 mars 2020.
Si vous utilisez le même identifiant utilisateur (adresse e-mail) et mot de passe pour vous connecter à d’autres services web que ceux que vous avez enregistrés pour “Takuhai File Bin”, il y a un risque que des tiers qui ont obtenu les informations divulguées se connectent illégalement à ces services web, c’est-à-dire qu’ils y accèdent en se faisant passer pour vous.
Le cas de Toyota Mobility
Toyota Mobility, une filiale de vente de Toyota Motor, a subi une cyberattaque le 21 mars 2019 (2019年3月21日). Il a été annoncé que jusqu’à 3,1 millions de données personnelles pourraient avoir été divulguées à partir des serveurs réseau de huit entreprises de vente associées ayant une infrastructure système commune. Heureusement, il a été annoncé qu’aucune information de carte de crédit n’a été divulguée, donc la probabilité de problèmes financiers directs peut être faible. Cependant, comme il s’agit d’informations sur les clients qui ont acheté des voitures, il est possible qu’elles soient négociées à des prix élevés entre les opérateurs de listes, et les dommages peuvent ne pas être limités.
Malgré l’obtention du “Privacy Mark” (P Mark) japonais, Toyota Mobility a dû faire face à ce problème de fuite d’informations personnelles, ce qui met en évidence l’importance des choix à faire en matière de sécurité à l’avenir. De plus, cette fuite d’informations personnelles prouve que les mesures de sécurité actuelles ne peuvent pas l’empêcher. Il sera nécessaire de réaliser un système de gestion de la protection des informations personnelles à un niveau plus élevé que le système de sécurité qui a obtenu le “Privacy Mark” (P Mark) japonais.
Comme dans le cas de Benesse, si le système de gestion de la protection des informations personnelles est jugé insuffisant à l’avenir, il est possible que le “Privacy Mark” (P Mark) japonais soit révoqué. Si le “Privacy Mark” (P Mark) japonais est révoqué, il y a un risque de perte de crédibilité, ce qui serait un gros problème.
Cas de « 7pay »
Le service de paiement « 7pay » introduit par Seven & I Holdings a été victime d’une utilisation frauduleuse le 2 juillet 2019, le lendemain de son lancement. Des utilisateurs ont signalé des transactions inconnues, ce qui a conduit à une enquête interne le 3 juillet.
La société a immédiatement suspendu temporairement les recharges par carte de crédit et carte de débit, et a également suspendu les nouvelles inscriptions au service à partir du 4 juillet. Le même jour, toutes les recharges ont été temporairement suspendues.
Le nombre de victimes d’accès frauduleux s’élève à 808, avec un montant total de dommages de 38 615 473 yens. Il est fortement probable que la méthode d’accès frauduleux était une attaque par liste, qui consiste à entrer mécaniquement des identifiants et des mots de passe qui ont fuité sur Internet à partir d’autres entreprises. On estime que cette méthode a été tentée des dizaines de millions de fois, avec un nombre de connexions réussies dépassant les 808 cas de victimes d’utilisation frauduleuse. Les raisons pour lesquelles l’attaque par liste n’a pas pu être évitée incluent un manque de mesures contre les connexions à partir de plusieurs terminaux, une absence de considération suffisante pour l’authentification à deux facteurs et d’autres méthodes d’authentification supplémentaires, et une incapacité à vérifier suffisamment l’optimisation de l’ensemble du système.
Le 1er août, Seven & I Holdings a tenu une conférence de presse d’urgence à Tokyo et a annoncé que le service « 7pay » serait terminé à minuit le 30 septembre. Les trois raisons suivantes ont été données pour l’arrêt du service :
- Il est prévu qu’une période de temps considérable sera nécessaire pour achever les mesures radicales nécessaires pour relancer tous les services de 7pay, y compris les recharges.
- Si le service devait être maintenu pendant cette période, il serait inévitablement limité à une forme incomplète de « paiement uniquement ».
- Les clients continuent d’avoir des inquiétudes concernant ce service.
Le manque de sensibilisation à la sécurité sur Internet de Seven & I Holdings et les problèmes de coordination au sein du groupe ont été révélés l’un après l’autre, forçant un retrait inhabituellement rapide. L’échec de ce grand distributeur a suscité des inquiétudes quant à la transition vers les paiements sans espèces promue par le gouvernement.
Cas de Uniqlo
Le 10 mai 2019, il a été confirmé qu’une connexion non autorisée par une tierce partie avait eu lieu sur le site de la boutique en ligne gérée par Uniqlo.
Du 23 avril au 10 mai, le nombre de comptes qui ont été connectés de manière non autorisée par le biais d’une attaque de type liste était de 461 091, enregistrés sur le site officiel de la boutique en ligne de Uniqlo et GU. Les informations personnelles des utilisateurs qui auraient pu être consultées comprennent le nom, l’adresse (code postal, ville, adresse, numéro de chambre), le numéro de téléphone, le numéro de téléphone portable, l’adresse e-mail, le sexe, la date de naissance, l’historique des achats, le nom et la taille enregistrés dans “Ma taille”, et une partie des informations de carte de crédit (nom du titulaire, date d’expiration, une partie du numéro de carte de crédit).
La source de la tentative de connexion non autorisée a été identifiée et l’accès a été bloqué, et la surveillance a été renforcée pour les autres accès. Cependant, pour les ID d’utilisateur qui auraient pu avoir leurs informations personnelles consultées, les mots de passe ont été désactivés le 13 mai, et une demande de réinitialisation du mot de passe a été envoyée individuellement par e-mail. De plus, il a été signalé que cet incident a été signalé à la police métropolitaine de Tokyo.
Il est caractéristique que non seulement des informations personnelles de base telles que le nom, l’adresse, le numéro de téléphone, le numéro de téléphone portable, l’adresse e-mail, la date de naissance, mais aussi des informations de confidentialité telles que l’historique des achats et le nom et la taille enregistrés dans “Ma taille” aient été divulgués. C’est un cas qui est désagréable et peut également causer de l’anxiété.
https://monolith-law.jp/reputation/personal-information-and-privacy-violation[ja]
Cas de la préfecture de Kanagawa
Il a été révélé le 6 décembre 2019 (Heisei 31) qu’à la suite de la revente d’un disque dur (HDD) utilisé à la préfecture de Kanagawa, des informations administratives contenant des informations personnelles ont fuité. Au printemps 2019, Fujitsu Lease, qui a conclu un contrat de location de serveurs avec la préfecture de Kanagawa, a retiré le HDD du serveur qu’il louait et l’a confié à une entreprise de recyclage pour élimination. Un employé de cette entreprise a emporté une partie du HDD et l’a revendu sur Yahoo Auctions sans l’avoir initialisé. Un homme qui dirige une entreprise informatique a acheté neuf de ces disques et, après avoir vérifié leur contenu, a découvert des données qui semblaient être des documents officiels de la préfecture de Kanagawa. Il a fourni ces informations à un journal, qui a confirmé auprès de la préfecture que les informations avaient fuité.
Selon une annonce de la préfecture le matin du 6, un total de 18 HDD ont été emportés, dont neuf ont été récupérés et les neuf autres ont également été récupérés par la suite. Les informations qui ont fuité comprennent des avis d’imposition avec des noms de personnes et d’entreprises, des notifications après des enquêtes fiscales avec des noms d’entreprises, des registres de paiement de la taxe sur les véhicules avec des noms de personnes et des adresses, des documents soumis par des entreprises, des registres de travail et des listes de noms de fonctionnaires de la préfecture, et d’autres données contenant des informations personnelles. Chaque HDD emporté a une capacité de stockage de 3 To, donc un total de 54 To de données pourraient avoir fuité à partir de 18 disques.
La préfecture de Kanagawa a commis des erreurs de base telles que :
- Ne pas avoir suffisamment examiné le cryptage au niveau matériel pour le serveur de fichiers où sont stockés les documents administratifs, et avoir configuré le système pour stocker les données en l’état
- Ne pas avoir reçu de certificat de fin de travail ou autre document prouvant que toutes les données ont été effacées par initialisation avant de retourner l’équipement contenant des informations importantes à la société de location
- Permettre à une entreprise de recyclage dont le personnel n’est pas au courant de récupérer l’équipement loué
Et Fujitsu Lease a également commis des erreurs de base telles que :
- Avoir confié entièrement l’élimination de l’équipement (recyclage) à une entreprise de recyclage
- Ne pas avoir demandé à l’entreprise de recyclage de délivrer un certificat prouvant que les données ont été complètement effacées, bien que le contrat de location stipule que ce certificat doit être soumis à la préfecture
Il n’est pas nécessaire de discuter de l’entreprise de recyclage.
Il semble que le manque de sensibilisation à la sécurité et l’attitude irresponsable de déléguer la responsabilité qui sont communs aux trois organisations impliquées ont conduit à ce résultat déplorable.
https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
Cas d’accès non autorisé
Les incidents causés par des accès non autorisés, qui ont un impact important et étendu, augmentent chaque année. En 2019, il y a eu un record de 41 incidents (32 entreprises) en huit ans depuis que Tokyo Shoko Research a commencé ses enquêtes. Cela représente près de la moitié des 86 incidents de fuite et de perte d’informations en 2019, avec un nombre de fuites et de pertes de 8 902 078, soit 98,5% du total de 2019 (9 031 734). En plus des exemples mentionnés ci-dessus, de nombreux accès non autorisés ont été révélés en 2019, y compris les cas suivants.
Cas d’une entreprise de vente d’accessoires automobiles
Le 26 février, une intrusion illégale a eu lieu sur la boutique en ligne gérée par la société Hase-Pro, une entreprise qui vend des accessoires automobiles. Une faille de sécurité du site a été exploitée et un écran de paiement frauduleux a été affiché. Les informations de carte de crédit entrées par les utilisateurs ont été divulguées.
Cas de “DentistryBook.com” (歯学書ドットコム)
Le 25 mars, une intrusion illégale a eu lieu sur le serveur web de “DentistryBook.com” (歯学書ドットコム), un site géré par Quintessence Publishing Co., Ltd., une maison d’édition spécialisée en dentisterie. En conséquence, les informations personnelles des utilisateurs du site ont été divulguées. Pour les clients qui ont utilisé le paiement par carte de crédit, les informations de la carte de crédit, y compris le code de sécurité, ont également été divulguées. De plus, jusqu’à 23 000 informations personnelles, y compris celles des utilisateurs du site d’offres d’emploi en dentisterie et de la Conférence Internationale de Dentisterie du Japon (日本国際歯科大会), ont été divulguées.
Cas de la « Galerie Nanatsuboshi »
Le 12 avril, un accès non autorisé a eu lieu sur le site de vente par correspondance de produits associés au train de croisière « Nanatsuboshi in Kyushu » de la société Kyushu Passenger Railway. En conséquence, des informations personnelles, y compris les informations de carte de crédit des clients, ont été divulguées. Il est possible que le code de sécurité soit également inclus pour les 3086 membres qui ont enregistré leurs informations de carte de crédit. De plus, il a été annoncé qu’il pourrait y avoir une fuite d’informations concernant 5120 cas, y compris les membres qui n’ont pas enregistré d’informations de carte et les utilisateurs qui ont utilisé d’autres sites.
Cas du service de sondage “An et Kate”
Le 23 mai, une intrusion illégale a eu lieu en exploitant une vulnérabilité du serveur du service de sondage “An et Kate”, géré par la société Marketing Applications. Les informations personnelles de 770 740 comptes enregistrés ont été divulguées. Il semble que ces informations comprenaient des adresses e-mail, des genres, des professions, des lieux de travail et des informations liées aux comptes bancaires.
Cas de « Yamada Webcom & Yamada Mall »
Le 29 mai, une intrusion illégale a eu lieu sur « Yamada Webcom & Yamada Mall », exploité par la société Yamada Denki. L’application de paiement a été modifiée et jusqu’à 37 832 enregistrements d’informations clients qui ont été enregistrées pendant cette période ont été divulgués.
Cas de la carte Aeon
Le 13 juin, une connexion frauduleuse due à une attaque par liste de mots de passe a eu lieu sur la carte Aeon de la société Aeon Credit Service. Il a été confirmé que 1917 comptes étaient dans un état où une connexion frauduleuse pouvait être effectuée, et parmi ceux-ci, une connexion frauduleuse a eu lieu dans 708 cas, causant un préjudice total d’environ 22 millions de yens. On pense que l’attaquant a lancé une attaque par liste de mots de passe sur le site officiel “Aeon Square”, a obtenu illégalement des informations sur le compte utilisateur, a changé les informations d’enregistrement de l’application officielle pour les transférer à un autre contact, et a utilisé les fonds via la fonction de paiement liée.
Cas de l’application “Vpass” de la carte Mitsui Sumitomo
Le 23 août, Mitsui Sumitomo Card Co., Ltd. a annoncé qu’il pourrait y avoir eu un accès non autorisé à un maximum de 16 756 informations d’identifiant de client dans l’application smartphone “Vpass” destinée aux membres. L’accès non autorisé a été confirmé par une enquête de surveillance régulièrement menée par la société. Après avoir enquêté sur la cause, il a été déterminé qu’il s’agissait d’une attaque de type liste de mots de passe, car la plupart des environ 5 millions de tentatives de connexion n’étaient pas enregistrées dans le service.
Cas de la “J-Coin Pay” de la Banque Mizuho
Le 4 septembre, la société Mizuho Financial Group (Banque Mizuho japonaise) a annoncé que le système de test lié à la gestion des magasins affiliés à son service “J-Coin Pay” avait été victime d’un accès non autorisé, entraînant la fuite de 18 469 informations sur les magasins affiliés à J-Coin.
Cas du «10mois WEBSHOP»
Le 19 septembre, la société à responsabilité limitée Ficelle a annoncé qu’une intrusion illégale avait eu lieu sur sa boutique en ligne «10mois WEBSHOP», entraînant la fuite de 108 131 données personnelles de clients et de 11 913 informations de cartes de crédit. Les informations de carte de crédit incluaient également le code de sécurité.
Cas du site officiel de Kyoto Ichinoden
Le 8 octobre, le site officiel de la société Kyoto Ichinoden, connue pour son pickles de l’ouest de Kyoto, a subi une intrusion illégale et son formulaire de paiement a été modifié. En conséquence, 18 855 informations de carte de crédit, y compris le code de sécurité, et 72 738 informations d’adhérents et historiques d’expédition ont été divulguées.
Cas de « Shopping avec Zojirushi »
Le 5 décembre, il a été annoncé qu’une attaque non autorisée avait eu lieu sur « Shopping avec Zojirushi », exploité par Zojirushi Mahobin Co., Ltd., et qu’il y avait une possibilité que jusqu’à 280 052 dossiers d’informations clients aient été divulgués. La cause de l’accès non autorisé est considérée comme une vulnérabilité sur le site, et la société a suspendu la publication du site de shopping depuis le 4 décembre.
Cas du service de roman électronique “Novelba”
Le 25 décembre, une intrusion illégale a eu lieu sur le service de roman électronique “Novelba”, exploité par la société B Gree Co., Ltd. En conséquence, les informations personnelles de 33 715 inscrits, y compris leurs adresses e-mail, ont été divulguées. De plus, il est possible que les informations bancaires de 76 utilisateurs inscrits au programme de récompenses aient également été divulguées, ce qui pourrait entraîner des dommages secondaires.
Résumé
La mise en place de mesures appropriées pour prévenir les fuites et les pertes d’informations est devenue un enjeu crucial pour toutes les organisations et entreprises qui traitent des informations personnelles. En particulier, pour les petites entreprises qui disposent de moins de ressources financières et humaines que les entreprises cotées en bourse, un incident de fuite peut causer des dommages potentiellement fatals à leur gestion. Il est donc essentiel de mettre en place des mesures de sécurité et de créer un système de gestion de l’information. Avec l’exploitation croissante des big data, la protection des informations personnelles est devenue de plus en plus importante. En même temps, la mise en place de mesures de sécurité contre les accès non autorisés de plus en plus sophistiqués et une gestion stricte de l’information sont devenues des prérequis essentiels pour la gestion des risques.