Tren Insiden Kehilangan dan Kebocoran Informasi Pribadi pada Tahun 2019

Menurut penelitian oleh Tokyo Shoko Research, pada tahun 2019 (Tahun 1 Reiwa), 66 perusahaan yang terdaftar dan anak perusahaannya mengumumkan kecelakaan kebocoran atau kehilangan informasi pribadi. Jumlah kecelakaan adalah 86, dan informasi pribadi yang bocor mencapai 9.031.734 orang. Pada tahun 2019, terjadi dua kecelakaan besar di mana lebih dari satu juta informasi pribadi bocor. Layanan pembayaran ‘7pay’ yang diperkenalkan oleh Seven & I Holdings, perusahaan ritel besar Jepang, dipaksa untuk menghentikan layanan karena penyalahgunaan ilegal, dan pentingnya langkah-langkah keamanan sekali lagi menjadi sorotan.

Kasus ‘Takuhai File Bin’

Pada tanggal 22 Januari 2019, terungkap adanya kebocoran informasi di layanan transfer file ‘Takuhai File Bin’ yang dikembangkan oleh OGIS Research Institute, anak perusahaan 100% dari Osaka Gas, setelah ditemukannya file mencurigakan di dalam server. Penyelidikan tambahan juga mengkonfirmasi adanya log akses yang mencurigakan, dan untuk mencegah kerugian lebih lanjut, layanan tersebut dihentikan pada tanggal 23 dan pengumuman pertama dikeluarkan, dan pada tanggal 25 kebocoran informasi dikonfirmasi.

Jumlah kebocoran adalah 4.815.399 kasus (anggota berbayar 22.569 kasus: anggota gratis 4.753.290 kasus: anggota yang mengundurkan diri 42.501 kasus), dan informasi yang bocor termasuk nama, alamat email untuk login, kata sandi login, tanggal lahir, jenis kelamin, pekerjaan / industri / jabatan, dan nama prefektur tempat tinggal. Jumlah kebocoran ini adalah rekor kedua terbesar dalam sejarah, setelah pencurian informasi pelanggan sebanyak 35,04 juta orang oleh karyawan kontrak di Benesse pada tahun 2014 (Tahun Heisei 26).

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Setelah itu, OGIS Research Institute mempertimbangkan pemulihan sambil memeriksa dan memperkuat keamanan, tetapi karena tidak ada prospek untuk rekonstruksi sistem, diumumkan pada tanggal 14 Januari 2020 (Tahun Reiwa 2) bahwa layanan akan dihentikan pada tanggal 31 Maret 2020.

Jika Anda menggunakan alamat email dan kata sandi login yang didaftarkan di ‘Takuhai File Bin’, dan ID pengguna yang sama (alamat email), kata sandi login untuk menggunakan layanan web lain, ada kemungkinan akses oleh pihak ketiga yang mendapatkan informasi yang bocor, yaitu ‘pemalsuan identitas’ ke layanan web tersebut.

Kasus Toyota Mobility

Toyota Mobility, anak perusahaan penjualan Toyota Motor, mengalami serangan siber pada 21 Maret 2019 (tahun 2019 dalam kalender Gregorian). Diumumkan bahwa total delapan perusahaan penjualan terkait yang memiliki infrastruktur sistem yang sama menjadi target, dan hingga 3,1 juta data pribadi mungkin telah bocor dari server jaringan. Untungnya, dikabarkan bahwa informasi kartu kredit tidak bocor, jadi kemungkinan akan berkembang menjadi masalah finansial mungkin kecil. Namun, karena ini adalah informasi tentang pelanggan yang membeli mobil, ada kemungkinan bahwa data tersebut diperdagangkan dengan harga tinggi di antara pedagang daftar, dan kerugian mungkin tidak dapat dihindari.

Toyota Mobility, meskipun telah memperoleh Privacy Mark (P-Mark) Jepang, menghadapi pilihan penting dalam langkah-langkah keamanan di masa depan karena masalah kebocoran data pribadi ini. Selain itu, kebocoran data pribadi ini juga dapat dianggap sebagai bukti bahwa langkah-langkah keamanan sebelumnya tidak dapat mencegahnya. Mungkin perlu untuk mewujudkan sistem manajemen perlindungan data pribadi yang lebih tinggi daripada sistem keamanan yang telah memperoleh Privacy Mark (P-Mark) Jepang.

Seperti halnya kasus Benesse, jika sistem manajemen perlindungan data pribadi di masa depan dianggap tidak memadai, mungkin ada kemungkinan kehilangan Privacy Mark (P-Mark) Jepang. Jika Privacy Mark (P-Mark) Jepang hilang, ada risiko kehilangan kepercayaan, yang akan menjadi masalah besar.

Kasus “7pay”

Layanan pembayaran “7pay” yang diperkenalkan oleh Seven & I Holdings, pada hari berikutnya setelah layanan dimulai pada 2 Juli 2019, menerima pertanyaan dari pengguna yang mengatakan “Ada transaksi yang tidak saya ingat”. Pada 3 Juli, sebuah investigasi internal dilakukan dan penyalahgunaan ilegal terungkap.

Mereka segera menghentikan sementara pengisian dari kartu kredit dan debit, dan mulai 4 Juli, pendaftaran baru untuk layanan juga dihentikan sementara, dan pada hari yang sama, semua pengisian dihentikan sementara.

Jumlah korban akses ilegal adalah 808 orang dengan jumlah kerugian sebesar 38.615.473 yen, dan metode akses ilegal kemungkinan besar adalah serangan tipe daftar. Serangan tipe daftar adalah metode memasukkan ID dan kata sandi yang telah bocor di internet dari perusahaan lain di masa lalu secara mekanis, dan setidaknya puluhan juta kali dicoba, dan jumlah login yang berhasil melebihi 808 kasus korban penyalahgunaan ilegal. Alasan tidak dapat mencegah peretasan akun tipe daftar termasuk kurangnya pertimbangan terhadap autentikasi tambahan seperti langkah-langkah terhadap login dari beberapa perangkat, autentikasi dua langkah, dan tidak dapat memverifikasi secara memadai optimalisasi sistem secara keseluruhan.

Pada 1 Agustus, Seven & I Holdings mengadakan konferensi pers darurat di Tokyo dan mengumumkan bahwa “7pay” akan berakhir pada pukul 24:00 tanggal 30 September. Alasan untuk penghentian layanan adalah tiga hal berikut.

• Diperkirakan dibutuhkan waktu yang cukup untuk menyelesaikan tindakan radikal untuk memulai kembali semua layanan, termasuk pengisian, untuk 7pay
• Jika layanan akan dilanjutkan selama itu, itu harus dalam bentuk tidak lengkap, yaitu “hanya penggunaan (pembayaran)”
• Pelanggan masih merasa tidak nyaman dengan layanan tersebut

Kesadaran Seven & I Holdings tentang keamanan internet yang lemah, kurangnya koordinasi dalam grup, dan kegagalan perusahaan besar dalam distribusi, telah memaksa penarikan dalam waktu singkat, dan telah menimbulkan kekhawatiran tentang pembayaran tanpa tunai yang dipromosikan oleh pemerintah.

Kasus Uniqlo

Pada tanggal 10 Mei 2019, telah dikonfirmasi bahwa terjadi login ilegal oleh pihak ketiga yang bukan pengguna asli di situs toko online yang dioperasikan oleh Uniqlo.

Dari tanggal 23 April hingga 10 Mei, jumlah akun yang telah login secara ilegal melalui metode serangan tipe daftar adalah 461.091 yang terdaftar di toko online resmi Uniqlo dan GU, dan informasi pribadi pengguna yang mungkin telah dilihat adalah nama, alamat (kode pos, kota, distrik, nomor rumah, nomor kamar), nomor telepon, nomor telepon seluler, alamat email, jenis kelamin, tanggal lahir, riwayat pembelian, nama dan ukuran yang terdaftar di “My Size”, dan sebagian informasi kartu kredit (nama pemegang kartu, tanggal kedaluwarsa, sebagian nomor kartu kredit).

Mereka telah mengidentifikasi sumber komunikasi di mana login ilegal telah dicoba dan memblokir akses, dan mereka telah meningkatkan pemantauan terhadap akses lainnya, tetapi untuk ID pengguna yang mungkin telah melihat informasi pribadi, mereka telah menonaktifkan kata sandi pada tanggal 13 Mei dan menghubungi masing-masing melalui email untuk meminta pengaturan ulang kata sandi, dan mereka juga telah melaporkan kasus ini ke Kepolisian Metropolitan Tokyo.

Ini adalah kasus yang tidak hanya mencakup informasi pribadi dasar seperti nama, alamat, nomor telepon, nomor telepon seluler, alamat email, dan tanggal lahir, tetapi juga informasi privasi seperti riwayat pembelian dan nama dan ukuran yang terdaftar di “My Size”, yang membuatnya menjadi kasus yang tidak menyenangkan dan membuat orang merasa cemas.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Kasus di Kantor Pemerintah Prefektur Kanagawa

Pada tanggal 6 Desember 2019 (Tahun 1 Reiwa), terungkap bahwa informasi termasuk dokumen administratif dan data pribadi telah bocor akibat penjualan kembali HDD (Hard Disk Drive) yang digunakan di Kantor Pemerintah Prefektur Kanagawa. Fujitsu Lease, yang memiliki kontrak sewa server dengan Prefektur Kanagawa, telah melepas HDD dari server yang disewa pada musim semi 2019 dan menyerahkan pembuangan ke perusahaan daur ulang. Seorang staf perusahaan tersebut membawa sebagian HDD dan menjualnya di Yahoo Auctions dalam keadaan tidak diinisialisasi. Seorang pria yang menjalankan perusahaan IT membeli sembilan dari HDD tersebut dan menemukan data yang tampaknya merupakan dokumen resmi Prefektur Kanagawa saat memeriksa isinya. Dia memberikan informasi ini kepada surat kabar, dan surat kabar tersebut mengkonfirmasi dengan prefektur, mengungkapkan kebocoran.

Menurut pengumuman prefektur pada pagi hari tanggal 6, total 18 HDD telah diambil, sembilan di antaranya telah dikumpulkan, dan sembilan lainnya telah dikumpulkan setelahnya. Data yang bocor termasuk surat pemberitahuan pajak dengan nama individu dan perusahaan, pemberitahuan setelah pemeriksaan pajak dengan nama perusahaan, catatan pembayaran pajak kendaraan bermotor dengan nama individu dan alamat, dokumen yang diajukan oleh perusahaan, catatan kerja dan daftar staf prefektur, dan lainnya. Informasi pribadi. Karena setiap HDD yang diambil memiliki kapasitas penyimpanan 3TB, maksimal 54TB data mungkin telah bocor dari 18 drive.

Prefektur Kanagawa telah membuat beberapa kesalahan dasar, seperti:

• Tidak mempertimbangkan enkripsi tingkat perangkat keras untuk server file tempat dokumen administratif dan lainnya disimpan, dan menyimpan data mentah
• Meskipun mereka berencana untuk menghapus semua data dengan inisialisasi saat mengembalikan perangkat yang berisi informasi penting ke perusahaan sewa, mereka tidak menerima sertifikat penyelesaian atau sejenisnya
• Perusahaan daur ulang yang tidak diketahui oleh staf yang bertanggung jawab mengambil perangkat sewa

Ada juga beberapa kesalahan dasar di Fujitsu Lease, seperti:

• Mereka telah sepenuhnya menyerahkan pembuangan perangkat (daur ulang) ke perusahaan daur ulang
• Meskipun kontrak sewa menyatakan bahwa mereka harus mengirimkan sertifikat yang menunjukkan bahwa data telah sepenuhnya dihapus ke prefektur, mereka tidak meminta perusahaan daur ulang untuk mengeluarkan sertifikat

Tentu saja, tidak perlu membahas perusahaan daur ulang.

Kurangnya kesadaran akan keamanan dan sikap yang tidak bertanggung jawab dari ketiga organisasi yang terlibat telah menghasilkan hasil yang buruk ini.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Kasus Akses Tidak Sah Lainnya

Kecelakaan akibat akses tidak sah yang berdampak luas dan merugikan semakin meningkat setiap tahunnya. Pada tahun 2019, terdapat 41 kasus (32 perusahaan) yang merupakan jumlah tertinggi dalam 8 tahun sejak Tokyo Shoko Research mulai melakukan survei. Ini hampir setengah dari total 86 kasus kebocoran dan kehilangan informasi pada tahun 2019, dengan jumlah kebocoran dan kehilangan sebanyak 8.902.078 kasus, mencakup 98,5% dari total keseluruhan (9.031.734 kasus) pada tahun 2019. Selain contoh yang telah disebutkan di atas, pada tahun 2019 juga terungkap banyak akses tidak sah lainnya, termasuk contoh-contoh berikut.

Kasus Perusahaan Penjualan Barang Otomotif

Pada tanggal 26 Februari, terjadi akses ilegal di toko online yang dioperasikan oleh PT Hase-Pro, perusahaan yang menjual barang otomotif, akibat penyalahgunaan kerentanan situs. Layar pembayaran palsu ditampilkan dan informasi kartu kredit yang dimasukkan oleh pengguna bocor.

Kasus “Buku Kedokteran Gigi Dot Com”

Pada tanggal 25 Maret, terjadi akses ilegal ke server web “Buku Kedokteran Gigi Dot Com” yang dioperasikan oleh Quintessence Publishing Co., Ltd., penerbit spesialis kedokteran gigi. Akibatnya, informasi pribadi pengguna situs bocor. Untuk pelanggan yang menggunakan pembayaran kartu kredit, informasi kartu kredit termasuk kode keamanan juga bocor. Selain itu, informasi pribadi pengguna lainnya, termasuk situs pencarian pekerjaan kedokteran gigi dan pengguna Konferensi Kedokteran Gigi Internasional Jepang, juga bocor, dengan total mencapai hingga 23.000 data informasi pribadi.

Kasus “NanatsuboshiGallery”

Pada tanggal 12 April, terjadi akses ilegal di situs penjualan barang terkait kereta api wisata “Nanatsuboshi in Kyushu” milik Kyushu Passenger Railway Co., Ltd., yang dikenal sebagai “NanatsuboshiGallery”, yang mengakibatkan kebocoran informasi pribadi termasuk informasi kartu kredit pelanggan. Diketahui bahwa ada kemungkinan termasuk kode keamanan untuk 3086 anggota yang telah mendaftarkan informasi kartu kredit mereka, dan juga diumumkan bahwa ada kemungkinan kebocoran informasi untuk 5120 item lainnya, termasuk anggota yang tidak mendaftarkan informasi kartu dan pengguna lainnya yang menggunakan situs tersebut.

Kasus Layanan Monitor Kuesioner ‘An dan Kate’

Pada tanggal 23 Mei, akses tidak sah yang menyalahgunakan kerentanan server telah terjadi pada layanan monitor kuesioner ‘An dan Kate’ yang dioperasikan oleh Marketing Applications, Inc. Informasi pribadi dari 770.740 akun terdaftar telah bocor, yang diketahui mencakup informasi seperti alamat email, jenis kelamin, pekerjaan, tempat kerja, dan informasi terkait rekening bank.

Kasus “Yamada Webcom – Yamada Mall”

Pada tanggal 29 Mei, akses tidak sah terjadi di “Yamada Webcom – Yamada Mall” yang dioperasikan oleh Yamada Denki Co., Ltd. Aplikasi pembayaran telah dimodifikasi dan selama periode tersebut, maksimal 37.832 data informasi pelanggan yang terdaftar telah bocor.

Kasus Kartu AEON

Pada tanggal 13 Juni, terjadi login ilegal pada kartu AEON milik AEON Credit Service Co., Ltd. akibat serangan daftar kata sandi. Dikonfirmasi bahwa ada 1917 akun yang dapat diakses secara ilegal, dan di antaranya, 708 akun telah mengalami login ilegal. Diumumkan bahwa kerugian akibat penggunaan ilegal mencapai total sekitar 220 juta yen. Pelaku menyerang “AEON Square”, situs resmi, dengan serangan daftar kata sandi untuk mendapatkan informasi akun pengguna secara ilegal. Mereka kemudian mengubah informasi pendaftaran di aplikasi resmi ke kontak lain, dan diperkirakan telah menggunakan dana melalui fungsi pembayaran terkait.

Kasus Aplikasi “Vpass” dari Mitsui Sumitomo Card

Pada tanggal 23 Agustus, Mitsui Sumitomo Card Co., Ltd. mengumumkan bahwa mungkin ada akses ilegal hingga 16.756 ID pelanggan di aplikasi smartphone untuk anggota “Vpass”. Akses ilegal ini dikonfirmasi melalui survei pemantauan yang dilakukan secara rutin oleh perusahaan tersebut. Setelah menyelidiki penyebabnya, ditemukan bahwa sebagian besar dari sekitar 5 juta upaya login tidak terdaftar di layanan ini, yang dianggap sebagai serangan tipe daftar kata sandi.

Kasus ‘J-Coin Pay’ Bank Mizuho

Pada tanggal 4 September, Mizuho Financial Group (Bank Mizuho) mengumumkan bahwa sistem uji coba yang digunakan untuk mengelola toko afiliasi ‘J-Coin Pay’ telah mengalami akses ilegal, dan informasi dari 18.469 toko afiliasi J-Coin telah bocor.

Kasus “10mois WEBSHOP”

Pada tanggal 19 September, toko online “10mois WEBSHOP” milik perusahaan terbatas Ficelle mengumumkan bahwa telah terjadi akses ilegal, mengakibatkan kebocoran informasi pribadi sebanyak 108,131 pelanggan dan informasi kartu kredit sebanyak 11,913. Informasi kartu kredit tersebut juga mencakup kode keamanan.

Kasus Situs Web Resmi Kyoto Ichinoden

Pada tanggal 8 Oktober, situs web resmi perusahaan Kyoto Ichinoden, yang dikenal dengan produknya seperti pickles Kyoto Barat, mengalami akses ilegal dan formulir pembayaran diubah. Informasi kartu kredit termasuk kode keamanan sebanyak 18.855 data, dan informasi anggota serta riwayat pengiriman sebanyak 72.738 data telah bocor.

Kasus ‘Belanja di Zojirushi’

Pada tanggal 5 Desember, Zojirushi Corporation, yang mengoperasikan ‘Belanja di Zojirushi’, mengumumkan bahwa telah terjadi akses tidak sah dan ada kemungkinan sebanyak 280.052 data pelanggan bocor. Penyebab akses tidak sah ini diduga adalah kerentanan di dalam situs, dan perusahaan telah menghentikan publikasi situs belanja sejak tanggal 4 Desember.

Kasus Layanan Novel Elektronik ‘Novelba’

Pada tanggal 25 Desember, layanan novel elektronik ‘Novelba’ yang dioperasikan oleh Perusahaan Beaglee mengalami akses ilegal, dan informasi pribadi sebanyak 33,715 item termasuk alamat email pendaftar telah bocor. Selain itu, ada kemungkinan informasi rekening juga telah bocor untuk 76 pengguna yang telah mendaftar dalam program penghargaan, sehingga ada potensi kerugian sekunder.

Kesimpulan

Langkah-langkah yang tepat untuk mencegah kebocoran dan kehilangan informasi menjadi isu penting bagi semua organisasi dan perusahaan yang menangani informasi pribadi. Khususnya, bagi bisnis kecil yang memiliki sumber daya keuangan dan manusia yang lebih terbatas dibandingkan perusahaan yang terdaftar di bursa, insiden kebocoran dapat memberikan kerusakan fatal pada manajemen. Tindakan keamanan dan pembentukan sistem manajemen informasi adalah suatu keharusan. Dengan latar belakang seperti pemanfaatan data besar, informasi pribadi semakin meningkat pentingnya. Pada saat yang sama, tindakan keamanan terhadap akses ilegal yang semakin canggih dan cerdas serta manajemen informasi yang ketat menjadi prasyarat penting dalam manajemen risiko.