Magyar English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_hu/header.php</b> on line <b>102</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Hétköznapokon 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

HOME > LAW MAGAZINE > General Corporate > A 2019-es évben történt személyes adatok szivárgásának és elvesztésének tendenciái

A 2019-es évben történt személyes adatok szivárgásának és elvesztésének tendenciái

General Corporate

A 2019-es évben történt személyes adatok szivárgásának és elvesztésének tendenciái

A Tokyo Kereskedelmi Kutatóintézet szerint 2019-ben 66 tőzsdén jegyzett vállalat és leányvállalata közölte, hogy személyes adatok szivárogtak el vagy vesztek el. Az incidensek száma 86 volt, a szivárgásokban érintett személyes adatok száma pedig elérte a 9 031 734-et. 2019-ben két nagy volumenű eset történt, amelyben több mint 1 millió személyes adat szivárgott ki. A forgalmazási óriás, a Seven & I Holdings által bevezetett fizetési szolgáltatás, a ‘7pay (Seven Pay)’ szolgáltatás megszűnt a jogtalan használat miatt, ami ismét ráirányította a figyelmet a biztonsági intézkedések fontosságára.

Az “Otthoni Fájl Szállító” esete

Az Osaka Gáz 100%-os leányvállalata, az OGIS Sóken által működtetett “Otthoni Fájl Szállító” fájlátviteli szolgáltatásban 2019. január 22-én gyanús fájlokat találtak a szerveren, ami adatszivárgást jelez. További vizsgálatok megerősítették a gyanús hozzáférési naplókat, és a károk megelőzése érdekében a szolgáltatást január 23-án leállították, majd január 25-én bejelentették az adatszivárgást.

A szivárgások száma 4 815 399 eset volt (fizetős tagok: 22 569, ingyenes tagok: 4 753 290, lemondott tagok: 42 501), a szivárgás tartalma pedig a nevek, bejelentkezési e-mail címek, jelszavak, születési dátumok, nemek, foglalkozások / iparágak / munkakörök, lakóhelyek prefektúráinak nevei stb. voltak. Ez a szivárgások száma a második legnagyobb a történelemben, a 2014-es Benesse esetében a szerződéses alkalmazottak által jogtalanul megszerzett 35 040 000 személyes adat után.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Az OGIS Sóken ezután biztonsági ellenőrzéseket és erősítéseket hajtott végre, és megfontolta a helyreállítást, de nem látták a rendszer újraépítésének kilátásait, ezért 2020. március 31-én bejelentették a szolgáltatás megszüntetését, amit 2020. január 14-én jelentettek be.

Ha ugyanazt az e-mail címet és jelszót használta a “Otthoni Fájl Szállító”-ban, és ugyanazt a felhasználói azonosítót (e-mail címet) és jelszót használja más webes szolgáltatásokhoz, akkor fennáll a veszélye, hogy a szivárgást elkövető harmadik fél jogtalanul bejelentkezik az adott webes szolgáltatásba, az úgynevezett “személyazonosság-lopás” révén.

A Toyota Mobility vállalat esete

2019-es személyes adatok szivárgásának és elvesztésének tendenciái
Bemutatjuk a Toyota Mobility vállalat esetét.

A Toyota autógyártó értékesítési leányvállalata, a Toyota Mobility 2019. március 21-én (2019) kibertámadás célpontja lett, és a rendszer alapjai közös értékesítési vállalatok összesen 8 céget érintettek. A hálózati szerverről legfeljebb 3,1 millió személyes adat szivároghatott ki. Szerencsére a hitelkártya-információk nem szivárogtak ki, így a pénzügyi problémák közvetlen kialakulásának esélye alacsony lehet. Azonban, mivel ezek az információk az autót vásárló ügyfelekről származnak, lehetséges, hogy magas áron kerülnek kereskedelmi forgalomba a névjegyzék-üzemeltetők között, és a kár nem feltétlenül korlátozódik.

A Toyota Mobility, annak ellenére, hogy rendelkezik a “Privacy Mark” (P Mark – Adatvédelmi Jelölés) minősítéssel, személyes adatok szivárgásának problémájával szembesült, ami fontos döntést követel a jövőbeni biztonsági intézkedéseket illetően. Ezenkívül ez az eset azt is bizonyítja, hogy a jelenlegi biztonsági intézkedések nem voltak képesek megakadályozni a személyes adatok szivárgását. A “Privacy Mark” (P Mark – Adatvédelmi Jelölés) minősítéssel rendelkező biztonsági rendszernél magasabb szintű személyes adatvédelmi rendszert kell létrehozni.

Ezért, ahogy a Benesse esetében is, ha úgy ítélik meg, hogy a jövőbeni személyes adatvédelmi rendszer nem megfelelő, lehetséges a “Privacy Mark” (P Mark – Adatvédelmi Jelölés) minősítés elvesztése. Ha a “Privacy Mark” (P Mark – Adatvédelmi Jelölés) minősítés elveszik, a hitelesség elveszhet, ami nagy problémát jelenthet.

A „7pay” esete

A Seven & I Holdings által bevezetett fizetési szolgáltatás, a „7pay” 2019. július 2-án, a szolgáltatás bevezetését követő napon, felhasználói jelezték, hogy „nem emlékeznek a tranzakcióra”, és július 3-án belső vizsgálatot indítottak, amely során kiderült, hogy csalás történt.

Azonnal felfüggesztették a hitel- és betéti kártyákról történő feltöltést, július 4-től pedig ideiglenesen felfüggesztették az új regisztrációkat is, és ugyanezen a napon felfüggesztették az összes feltöltést.

Az illegális hozzáférés áldozatainak száma 808, a kár összege pedig 38 615 473 jen. Az illegális hozzáférés módszerét listatípusú támadásnak nevezték, amelyben gépi módon adták be azokat az azonosítókat és jelszavakat, amelyek korábban más vállalatoktól szivárogtak ki az internetre. Legalább több tízmillió próbálkozást tettek, és a sikeres bejelentkezések száma meghaladta az 808 csalás áldozatát. A listatípusú fiók feltörésének megakadályozásában az volt a hiba, hogy nem voltak megfelelő intézkedések a több eszközről történő bejelentkezés ellen, nem gondolták át kellően a kétfaktoros hitelesítést és más további hitelesítési módszereket, és nem tudták kellően ellenőrizni a rendszer egészének optimalizálását.

Augusztus 1-jén a Seven & I Holdings sürgősségi sajtótájékoztatót tartott Tokióban, ahol bejelentették, hogy a „7pay” szolgáltatás szeptember 30-án éjfélkor megszűnik. A szolgáltatás megszüntetésének az alábbi három okát adták meg:

  • A „7pay” esetében, beleértve a feltöltést is, minden szolgáltatás újraindításához szükséges alapos intézkedések befejezéséhez jelentős időre van szükség
  • Ha a szolgáltatást folytatnák, akkor csak a „használat (fizetés)”, vagyis egy hiányos formában lehetne
  • Az ügyfelek továbbra is aggódnak a szolgáltatás miatt

A Seven & I Holdings internetbiztonsági tudatosságának hiánya és a csoporton belüli együttműködés hiánya sorra került napvilágra, és ez kényszerítette a vállalatot a rendkívül rövid idő alatti visszavonulásra. A nagy kiskereskedelmi vállalatok botladozása növelte a kormány által támogatott készpénzmentes fizetési rendszerek iránti aggodalmat.

A Uniqlo esete

2019-es személyes adatok szivárgásának és elvesztésének tendenciái
Bemutatjuk a Uniqlo online oldalán történt esetet.

2019. május 10-én megerősítést nyert, hogy a Uniqlo által üzemeltetett online áruházban illetéktelen bejelentkezés történt, amit nem a felhasználó, hanem egy harmadik fél hajtott végre.

Április 23. és május 10. között a listás támadás módszerével végrehajtott illetéktelen bejelentkezések száma a Uniqlo hivatalos online áruházában és a GU hivatalos online áruházban 461,091 volt. A lehetségesen megtekintett felhasználói személyes adatok a következők voltak: név, cím (irányítószám, város/kerület/falu, házszám, szobaszám), telefonszám, mobiltelefonszám, e-mail cím, nem, születési dátum, vásárlási előzmények, a “My Size” szolgáltatásban regisztrált név és méret, valamint a hitelkártya adatainak egy része (kártyatulajdonos neve, lejárati dátum, hitelkártyaszám egy része).

Az illetéktelen bejelentkezési kísérletek forrását azonosították és hozzáférést blokkoltak, továbbá megerősítették a többi hozzáférés ellenőrzését is. Azonban a személyes adatokat lehetségesen megtekintő felhasználói azonosítók esetében május 13-án érvénytelenítették a jelszavakat, és e-mailben külön-külön értesítették a felhasználókat a jelszó újra beállításának szükségességéről, valamint bejelentést tettek a tokiói rendőrségen az esetről.

Az eset sajátossága, hogy nem csak az alapvető személyes adatok, mint a név, cím, telefonszám, mobiltelefonszám, e-mail cím és születési dátum szivárgott ki, hanem a vásárlási előzmények és a “My Size” szolgáltatásban regisztrált név és méret, ami személyes adatvédelmi információ. Ez az eset kellemetlen és aggodalomra ad okot.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

A Kanagawa prefektúra esete

2019. december 6-án kiderült, hogy a Kanagawa prefektúra hivatalában használt HDD-k (merevlemezek) újraértékesítése során személyes adatokat tartalmazó közigazgatási dokumentumok információi szivárogtak ki. A Kanagawa prefektúra és a szerverek bérleti szerződését kötő Fujitsu Lease 2019 tavaszán eltávolította a HDD-ket a bérleti szerverekről, és a hulladékkezelést egy újrahasznosító cégnek bízta. Azonban a cég egyik munkatársa elvitte a HDD-k egy részét, és kezdeti állapotban újraértékesítette őket a Yahoo aukciós oldalon. Ebből kilencet vásárolt meg egy IT vállalkozó, aki a tartalmukat ellenőrizve Kanagawa prefektúra hivatalos dokumentumaira utaló adatokat talált, és ezt követően értesítette a sajtót. A sajtó megerősítette az információt a prefektúrával, így derült fény az adatszivárgásra.

A prefektúra bejelentése szerint összesen 18 HDD-t vittek el, ebből kilencet már visszaszereztek, a többi kilencet pedig később. Az elszivárgott adatok között személyek és vállalatok nevét tartalmazó adóbevallások, vállalatok nevét tartalmazó adóellenőrzési értesítések, személyek nevét és címét tartalmazó gépjárműadó-bevallások, vállalatok által benyújtott dokumentumok, a prefektúra alkalmazottainak munkanaplói és névsorai találhatóak. Mivel minden elvitt HDD 3TB tárolókapacitással rendelkezik, így összesen akár 54TB adat is kiszivároghatott.

A Kanagawa prefektúra hibái között szerepel:

  • Az, hogy nem gondolkodtak elég alaposan a fájlszerveren tárolt közigazgatási dokumentumok hardver szintű titkosításán, és nyers adatokat tároltak.
  • Az, hogy bár a fontos információkat tartalmazó eszközöket a bérleti cégnek kellett volna visszaadniuk az adatok teljes törlése után, nem kaptak erről igazolást.
  • Az, hogy a felelős személyek sem tudtak arról, hogy a hulladékkezelő cég veszi át a bérleti eszközöket.

A Fujitsu Lease hibái között szerepel:

  • Az, hogy a hulladékkezelést teljes mértékben a hulladékkezelő cégnek bízták.
  • Az, hogy bár a bérleti szerződés szerint a teljes adattörlést igazoló dokumentumot kellett volna benyújtaniuk a prefektúrának, nem kérték ezt a dokumentumot a hulladékkezelő cégtől.

A hulladékkezelő cégről nem is beszélve.

Úgy tűnik, hogy a három érintett szervezet közös jellemzője a biztonsági kockázatokkal szembeni érzéketlenség és a felelősség elhárítása, ami ezt a szánalmas helyzetet eredményezte.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Egyéb jogosulatlan hozzáférési esetek

2019-es személyes adatok szivárgásának és elvesztésének tendenciái
A jogosulatlan hozzáférésből eredő balesetek száma évről évre növekszik, és a biztonsági intézkedések és az információkezelési rendszerek kialakítása a jövőbeni feladatok közé tartozik.

A nagy károkat okozó és széles körben hatást gyakorló jogosulatlan hozzáférésből eredő balesetek száma évről évre növekszik. 2019-ben a Tokyo Shōkō Research (Tókói Kereskedelmi Kutatóintézet) adatai szerint a nyolc év alatt, amióta a kutatásokat elkezdték, 41 eset (32 cég) fordult elő, ami a legtöbb. Ez majdnem a fele a 2019-es információszivárgások és elvesztések 86 esetének, a szivárgások és elvesztések száma pedig 8 902 078 volt, ami a 2019-es összes eset (9 031 734) 98,5%-át tette ki. A fent említett példákon kívül 2019-ben számos jogosulatlan hozzáférési eset került napvilágra, amelyek közül néhány a következőképpen alakult:

Autóalkatrész-értékesítő cégek esetében

Február 26-án a Hase-Pro Kft., egy autóalkatrészeket értékesítő cég, által üzemeltetett online boltban rosszindulatú hozzáférés történt, kihasználva a weboldal biztonsági réseit. Egy hamis fizetési oldal jelenik meg, és a felhasználók által megadott hitelkártya-információk ki lettek szivárogtatva.

A “Fogászati Könyvek.com” esete

Március 25-én jogosulatlan hozzáférés történt a Quintessence Kiadó által üzemeltetett “Fogászati Könyvek.com” weboldal szerveréhez, melynek következtében a weboldal felhasználóinak személyes adatai kiszivárogtak. A kreditkártyás fizetést használó ügyfelek esetében a biztonsági kódokat is tartalmazó kreditkártya információk is kiszivárogtak. Továbbá, a fogászati állásportál és a Japán Nemzetközi Fogászati Kongresszus felhasználóinak személyes adatai is érintettek voltak, összesen legfeljebb 23 000 személyes adat szivárgott ki.

A “Nanatsuboshi Gallery” esete

Április 12-én a Kyushu Passenger Railway Co. luxusvonatának, a “Nanatsuboshi in Kyushu”-nak a kapcsolódó termékét értékesítő weboldalán, a “Nanatsuboshi Gallery”-nél illetéktelen hozzáférés történt, melynek során a vásárlók személyes adatai, beleértve a hitelkártya-információkat is, kiszivárogtak. Azt is bejelentették, hogy a 3086 olyan tag esetében, akik regisztrálták hitelkártya-adataikat, a biztonsági kód is érintett lehet, és a kártyaadatokat nem regisztráló tagok, valamint a weboldalt egyébként használó felhasználók esetében is fennáll a személyes adatok kiszivárgásának veszélye, összesen 5120 esetről van szó.

Az “An és Kate” kérdőív monitor szolgáltatás esete

Május 23-án a Marketing Applications Kft. által üzemeltetett “An és Kate” kérdőív monitor szolgáltatásnál történt egy szerver sebezhetőségét kihasználó jogosulatlan hozzáférés. A regisztrált fiókok közül 770 740 személyes adat szivárgott ki, amelyek között szerepeltek e-mail címek, nemek, foglalkozások, munkahelyek, banki fiókokkal kapcsolatos információk is.

A “Yamada Webcom-Yamada Mall” esete

Május 29-én a Yamada Denki Co., Ltd. által üzemeltetett “Yamada Webcom-Yamada Mall” oldalon illetéktelen hozzáférés történt, a fizetési alkalmazást megváltoztatták, és a periódus alatt regisztrált ügyféladatokból legfeljebb 37 832 adat szivárgott ki.

Az Íon Kártya esete

Június 13-án az Íon Credit Service Co., Ltd. Íon kártyájánál jelszólista támadás miatt történt jogosulatlan bejelentkezés. Megállapítást nyert, hogy 1917 fióknál volt lehetséges a jogosulatlan bejelentkezés, ebből 708 esetben ténylegesen is megtörtént, és összesen körülbelül 22 millió jen értékű jogosulatlan használati kár keletkezett. A támadók a hivatalos “Íon Square” weboldalon jelszólista támadást hajtottak végre, jogosulatlanul szereztek be felhasználói fiók információkat, a hivatalos alkalmazás regisztrációs információ módosító funkcióját használták fel a kapcsolattartási adatok megváltoztatására, és a fizetési funkciókon keresztül használták fel a pénzeszközöket.

Az eset a Mitsui Sumitomo Card “Vpass App”-jával

A kártyákhoz történő jogosulatlan hozzáférés is károkat okoz.

Augusztus 23-án a Mitsui Sumitomo Card Co., Ltd. bejelentette, hogy a “Vpass App” nevű okostelefon alkalmazásukban a felhasználók ID információinak legfeljebb 16 756 esete esetén lehetőség van jogosulatlan hozzáférésre. A cég rendszeres monitorozó vizsgálatai során azonosították a jogosulatlan hozzáférési kísérleteket, és a vizsgálatok során kiderült, hogy a mintegy 5 millió bejelentkezési kísérlet nagy része olyan szolgáltatásokhoz tartozott, amelyek nem voltak regisztrálva a rendszerben. Ezért ezeket jelszólista-típusú támadásnak tekintik.

A Mizuho Bank “J-Coin Pay” esete

Szeptember 4-én a Mizuho Financial Group (Mizuho Bank) bejelentette, hogy a “J-Coin Pay” szolgáltatásukat nyújtó rendszerük tesztelésére szolgáló rendszerük jogosulatlan hozzáférést szenvedett, és ennek eredményeként 18 469 J-Coin partnerüzlet adatai kerültek illetéktelen kezekbe.

A “10mois WEBSHOP” esete

Szeptember 19-én a Ficell Kft. online boltjában, a “10mois WEBSHOP”-ban illetéktelen hozzáférés történt, és bejelentették, hogy 108 131 ügyfél személyes adatai és 11 913 hitelkártya-információ szivárgott ki. A hitelkártya-információk között szerepelt a biztonsági kód is.

A Kyoto Ichinoden hivatalos weboldalának esete

Október 8-án jogosulatlan hozzáférés történt a Kyoto Ichinoden Co., Ltd. hivatalos weboldalához, amely ismert a Nishikyozuke és más termékeiről, és a fizetési űrlapjukat megváltoztatták. A biztonsági kódokat tartalmazó hitelkártya-információk közül 18 855, a tagok adatai és a szállítási előzmények közül pedig 72 738 került ki a nyilvánosságra.

Az “Elephant Brand Shopping” eset

December 5-én az Elephant Brand Mahobin Co., Ltd. által üzemeltetett “Elephant Brand Shopping” oldal ellen illetéktelen hozzáférés történt, és bejelentették, hogy legfeljebb 280 520 ügyfél adatai kerülhettek illetéktelen kezekbe. Az illetéktelen hozzáférés oka a weboldal sebezhetősége volt, és a cég december 4-től kezdve felfüggesztette a webáruház nyilvános elérhetőségét.

Az “Novelba” elektronikus regény szolgáltatás esete

December 25-én a Beeglee Kft. által üzemeltetett “Novelba” elektronikus regény szolgáltatás ellen jogosulatlan hozzáférés történt, és 33 715 regisztrált felhasználó személyes adatai, beleértve az e-mail címeket, kiszivárogtak. Továbbá, a jutalmazási programban regisztrált 76 felhasználó bankszámla adatai is kiszivároghattak, ami további károkat okozhat.

Összefoglalás

Az információszivárgás és -elvesztés megelőzésére irányuló megfelelő intézkedések minden szervezet és vállalat számára fontos kérdéssé váltak, amelyek személyes adatokat kezelnek. Különösen a kisvállalkozások számára, ahol a tőke és az emberi erőforrások korlátozottak a tőzsdén jegyzett vállalatokhoz képest, a szivárgási incidensek végzetes károkat okozhatnak a vállalatirányításban. Elengedhetetlen a biztonsági intézkedések és az információkezelési rendszerek kialakítása. A nagy adatmennyiségek felhasználása és más tényezők miatt a személyes adatok egyre fontosabbá válnak. Ugyanakkor a fejlett és ravaszul kialakított jogosulatlan hozzáférés elleni biztonsági intézkedések és a szigorú információkezelés alapvető előfeltételei a kockázatkezelésnek.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: General Corporate

Tag:

Related Articles

A GDPR-ről: Összehasonlítás a Japán Személyes Adatvédelmi Törvénnyel és a Japán Vállalatok Számára Fontos Szempontok

A GDPR-ről: Összehasonlítás a Japán Személyes Adatvédelmi Törvénnyel és a Japán Vállalatok Számá.

General Corporate

Bűncselekménnyé válhat mások címének meghatározása és nyilvánosságra hozatala? A bejegyzés szerzőjének azonosítási módszerének ismertetése

Bűncselekménnyé válhat mások címének meghatározása és nyilvánosságra hozatala? A bejegyzés szerz.

General Corporate

Az EU Digitális Piaci Törvényének (DMA) alapjai – Milyen hatással van Japánra?

Az EU Digitális Piaci Törvényének (DMA) alapjai – Milyen hatással van Japánra?

General Corporate

Az EC weboldalakon és LP-kon található kozmetikai reklámok szabályozása

Az EC weboldalakon és LP-kon található kozmetikai reklámok szabályozása

General Corporate

Mire kell figyelni az SNS kezelését átvevő ügynökséggel kötött szerződésnél?

Mire kell figyelni az SNS kezelését átvevő ügynökséggel kötött szerződésnél?

General Corporate

Az ICO módszere és az ügyvéd bevonásának szükségessége

Az ICO módszere és az ügyvéd bevonásának szükségessége

General Corporate

Csekkpontok a szerződésben, amikor a rendszerfejlesztést alvállalkozói típusban végzik

Csekkpontok a szerződésben, amikor a rendszerfejlesztést alvállalkozói típusban végzik

General Corporate

Az amerikai jogrendszer miben különbözik a japántól? Ismertetjük azokat a pontokat, amelyeket tudni érdemes a helyi vállalat alapítása előtt

Az amerikai jogrendszer miben különbözik a japántól? Ismertetjük azokat a pontokat, amelyeket tu.

General Corporate

10 fontos pont, amire figyelni kell a licencszerződésekben: részletes magyarázat

10 fontos pont, amire figyelni kell a licencszerződésekben: részletes magyarázat

General Corporate


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Internet IPO IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Vissza a tetejére