Trend Insiden Kebocoran dan Kehilangan Maklumat Peribadi pada Tahun 2019
Menurut Tokyo Shoko Research, pada tahun 2019 (Tahun 1 Reiwa), 66 syarikat tersenarai dan anak syarikat mereka telah mengumumkan insiden kebocoran dan kehilangan data peribadi. Jumlah insiden adalah 86, dan jumlah maklumat peribadi yang bocor mencapai 9,031,734 orang. Pada tahun 2019, terdapat dua insiden besar di mana lebih dari satu juta rekod data peribadi bocor. Salah satunya adalah perkhidmatan pembayaran ‘7pay’ yang diperkenalkan oleh Seven & I Holdings, sebuah syarikat besar dalam industri peruncitan Jepun. Perkhidmatan ini terpaksa dihentikan kerana penyalahgunaan yang tidak sah, dan kepentingan langkah-langkah keselamatan sekali lagi menjadi tumpuan utama pada tahun tersebut.
Dalam Kes Takkyubin File
Pada 22 Januari 2019, penyebaran maklumat telah dikesan dalam perkhidmatan penghantaran fail ‘Takkyubin File’ yang dikendalikan oleh OGIS Research Institute, anak syarikat sepenuhnya Osaka Gas. Fail yang mencurigakan telah ditemui di dalam pelayan, dan setelah penyiasatan tambahan, log akses yang mencurigakan juga dikenal pasti. Untuk mencegah kerugian, perkhidmatan telah dihentikan pada 23 Januari dan laporan pertama telah dikeluarkan, dan pada 25 Januari, penyebaran maklumat telah disahkan.
Jumlah kes penyebaran adalah 4,815,399 (ahli berbayar 22,569: ahli percuma 4,753,290: bekas ahli 42,501), dan maklumat yang tersebar termasuk nama, alamat e-mel untuk log masuk, kata laluan log masuk, tarikh lahir, jantina, pekerjaan / industri / jawatan, dan nama prefektur tempat tinggal. Jumlah kes penyebaran ini adalah kedua tertinggi dalam sejarah, setelah pengambilan maklumat pelanggan secara tidak sah oleh pekerja kontrak di Benesse pada tahun 2014, yang melibatkan maklumat peribadi 35.04 juta orang.
Selepas itu, OGIS Research Institute telah mempertimbangkan pemulihan sambil menjalankan pemeriksaan dan peningkatan keselamatan, tetapi kerana tidak dapat meramalkan pembinaan semula sistem, telah diumumkan pada 14 Januari 2020 bahawa perkhidmatan akan dihentikan pada 31 Mac 2020.
Jika anda menggunakan alamat e-mel dan kata laluan log masuk yang didaftarkan di ‘Takkyubin File’, dan ID pengguna yang sama (alamat e-mel), kata laluan log masuk untuk menggunakan perkhidmatan web lain, ada kemungkinan akses oleh pihak ketiga yang mendapatkan maklumat yang tersebar, log masuk tidak sah ke perkhidmatan web tersebut, dan akses yang dikenali sebagai ‘pura-pura’.
Kes Syarikat Toyota Mobility
Syarikat anak syarikat penjualan Toyota Motor, Toyota Mobility, telah diserang secara siber pada 21 Mac 2019, dan sistem asas yang sama dengan syarikat penjualan yang berkaitan, total 8 syarikat telah menjadi sasaran, dan maksimum 3.1 juta data peribadi mungkin telah bocor dari pelayan rangkaian. Walaupun telah diumumkan bahawa maklumat kad kredit tidak bocor, kemungkinan untuk berkembang menjadi masalah kewangan mungkin rendah. Walau bagaimanapun, kerana ini adalah maklumat pelanggan yang membeli kereta, mungkin diperdagangkan dengan harga tinggi di antara peniaga senarai, dan kerosakan mungkin tidak terhad.
Walaupun Toyota Mobility telah memperoleh Tanda Privasi (P Mark), ia telah berkembang menjadi masalah kebocoran data peribadi seperti ini, dan pilihan penting untuk langkah-langkah keselamatan di masa depan dipaksa. Selain itu, kebocoran data peribadi dalam kes ini mungkin membuktikan bahawa tidak dapat dicegah dengan langkah-langkah keselamatan sebelum ini. Mungkin perlu untuk mewujudkan sistem pengurusan perlindungan data peribadi yang lebih tinggi daripada sistem keselamatan yang telah memperoleh Tanda Privasi (P Mark).
Seperti ini, seperti dalam kes Benesse, jika sistem pengurusan perlindungan data peribadi di masa depan dianggap tidak mencukupi, Tanda Privasi (P Mark) mungkin hilang. Jika Tanda Privasi (P Mark) hilang, ada risiko kehilangan kredibiliti, yang menjadi masalah besar.
Kes “7pay”
Perkhidmatan pembayaran “7pay” yang diperkenalkan oleh Seven & I Holdings telah menerima pertanyaan dari pengguna pada 2 Julai 2019 (hari selepas perkhidmatan dimulakan) mengenai transaksi yang tidak dikenali. Pada 3 Julai, siasatan dalaman telah dijalankan dan penyalahgunaan tidak sah telah ditemui.
Secara serta-merta, pengisian semula dari kad kredit dan debit telah dihentikan sementara, dan pendaftaran baru untuk perkhidmatan juga telah dihentikan sementara mulai 4 Julai. Pada hari yang sama, semua pengisian semula telah dihentikan sementara.
Jumlah mangsa penyalahgunaan tidak sah adalah 808 orang dengan jumlah kerugian sebanyak 38,615,473 yen. Modus operandi penyalahgunaan tidak sah kemungkinan besar adalah serangan jenis senarai, di mana ID dan kata laluan yang telah bocor di internet dari syarikat lain dimasukkan secara mekanikal. Ia dikatakan telah dicuba berpuluh-puluh juta kali, dan jumlah log masuk yang berjaya melebihi 808 kes penyalahgunaan tidak sah. Sebab-sebab yang dikemukakan kerana tidak dapat mencegah serangan jenis senarai termasuk kurangnya langkah-langkah terhadap log masuk dari pelbagai peranti, kurangnya pertimbangan terhadap pengesahan tambahan seperti pengesahan dua langkah, dan tidak dapat memeriksa pengoptimuman sistem secara menyeluruh.
Pada 1 Ogos, Seven & I Holdings mengadakan sidang akhbar kecemasan di Tokyo dan mengumumkan bahawa “7pay” akan berakhir pada 30 September pukul 24:00. Sebab-sebab berikut diberikan untuk penghentian perkhidmatan:
- Untuk menyelesaikan langkah-langkah radikal yang cukup untuk memulakan semula semua perkhidmatan “7pay”, termasuk pengisian semula, dijangka memerlukan masa yang cukup
- Jika perkhidmatan diteruskan dalam tempoh tersebut, ia akan menjadi bentuk yang tidak lengkap, iaitu “hanya penggunaan (pembayaran)”
- Pelanggan masih mempunyai kebimbangan mengenai perkhidmatan tersebut
Kesedaran Seven & I Holdings terhadap keselamatan internet yang lemah dan kelemahan kerjasama dalam kumpulan telah terdedah satu per satu, dan mereka terpaksa menarik diri dalam tempoh yang singkat. Kegagalan syarikat besar dalam perdagangan ini telah menimbulkan kebimbangan terhadap pembayaran tanpa tunai yang dipromosikan oleh kerajaan.
Kes Uniqlo
Pada 10 Mei 2019, telah disahkan bahawa log masuk yang tidak sah oleh pihak ketiga selain pengguna sendiri telah berlaku di laman web kedai online yang diuruskan oleh Uniqlo.
Dari 23 April hingga 10 Mei, jumlah akaun yang telah log masuk secara tidak sah melalui teknik serangan senarai adalah 461,091 yang terdaftar di kedai online rasmi Uniqlo dan kedai online rasmi GU, dan maklumat peribadi pengguna yang mungkin telah dilihat adalah nama, alamat (nombor pos, bandar, daerah, alamat, nombor bilik), nombor telefon, nombor telefon bimbit, alamat e-mel, jantina, tarikh lahir, sejarah pembelian, nama dan saiz yang didaftarkan dalam saiz saya, dan sebahagian maklumat kad kredit (nama pemegang kad, tarikh luput, sebahagian nombor kad kredit).
Uniqlo telah mengenal pasti sumber komunikasi di mana log masuk yang tidak sah telah dicuba dan menghalang akses, dan memperkuat pemantauan terhadap akses lain, tetapi pada 13 Mei, mereka telah membatalkan kata laluan untuk ID pengguna yang mungkin telah melihat maklumat peribadi dan menghubungi setiap orang melalui e-mel untuk meminta penyetelan semula kata laluan, dan juga telah melaporkan perkara ini kepada Polis Metropolitan Tokyo.
Ini adalah contoh yang tidak menyenangkan dan mengganggu, yang menonjol kerana bukan sahaja maklumat peribadi asas seperti nama, alamat, nombor telefon, nombor telefon bimbit, alamat e-mel, dan tarikh lahir, tetapi juga maklumat privasi seperti sejarah pembelian dan nama dan saiz yang didaftarkan dalam saiz saya telah bocor.
https://monolith.law/reputation/personal-information-and-privacy-violation[ja]
Kes Pejabat Negeri Kanagawa
Pada 6 Disember 2019, telah dikesan bahawa maklumat termasuk dokumen pentadbiran yang mengandungi maklumat peribadi telah bocor melalui penjualan semula HDD (Hard Disk Drive) yang digunakan di Pejabat Negeri Kanagawa. Fujitsu Lease, yang mempunyai kontrak sewa untuk pelayan dan lain-lain dengan Negeri Kanagawa, telah mengeluarkan HDD dari pelayan yang disewa pada musim bunga 2019 dan menyerahkan pembuangan kepada syarikat kitar semula. Seorang pegawai syarikat tersebut membawa sebahagian HDD dan menjualnya di Yahoo Auctions dalam keadaan yang tidak diawalkan, dan seorang lelaki yang menguruskan syarikat IT yang membeli sembilan daripadanya memeriksa kandungannya dan menemui data yang dianggap sebagai dokumen rasmi Negeri Kanagawa. Dia memberikan maklumat kepada syarikat penerbitan, dan bocoran itu dikesan apabila syarikat penerbitan mengesahkan dengan negeri.
Menurut pengumuman negeri pada pagi 6 Disember, sejumlah 18 HDD telah dibawa keluar, sembilan daripadanya telah dikumpulkan, dan sembilan lagi telah dikumpulkan kemudian. Data yang bocor termasuk notis cukai dengan nama peribadi dan nama syarikat, notis selepas pemeriksaan cukai dengan nama syarikat, rekod pembayaran cukai kereta dengan nama peribadi dan alamat, dokumen yang diserahkan oleh syarikat, rekod kerja dan senarai nama kakitangan negeri, dan lain-lain data yang mengandungi maklumat peribadi. Setiap HDD yang dibawa keluar mempunyai kapasiti penyimpanan 3TB, jadi maksimum 54TB data mungkin telah bocor dari 18 HDD.
Negeri Kanagawa telah,
- Tidak mempertimbangkan dengan cukup baik mengenai penyulitan pada peringkat perkakasan untuk pelayan fail di mana dokumen pentadbiran dan lain-lain disimpan, dan telah mengkonfigurasi untuk menyimpan data mentah
- Walaupun mereka merancang untuk memastikan bahawa semua data telah dipadamkan melalui proses pengawalan semula apabila mengembalikan peralatan yang menyimpan maklumat penting kepada syarikat sewa, mereka tidak menerima sijil pengesahan penyelesaian dan lain-lain
- Syarikat kitar semula yang tidak diketahui oleh pegawai bertanggungjawab mengambil alih peralatan sewa
dan lain-lain kesilapan asas, dan Fujitsu Lease telah,
- Menyerahkan sepenuhnya pembuangan peralatan (kitar semula) kepada syarikat kitar semula
- Walaupun kontrak sewa memerlukan mereka untuk mengemukakan sijil yang menunjukkan bahawa data telah dipadamkan sepenuhnya kepada negeri, mereka tidak meminta syarikat kitar semula untuk mengeluarkan sijil
dan lain-lain kesilapan asas. Tidak perlu diperdebatkan mengenai syarikat kitar semula.
Kurangnya kesedaran mengenai keselamatan dan sikap tidak bertanggungjawab yang melibatkan tiga organisasi ini telah menghasilkan hasil yang tidak memuaskan ini.
https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
Kes Akses Tidak Sah Lainnya
Kesalahan yang disebabkan oleh akses tidak sah yang memberi kesan luas dan besar semakin meningkat setiap tahun. Pada tahun 2019, dikatakan bahawa sebanyak 41 kes (32 syarikat) yang paling banyak dalam 8 tahun sejak Tokyo Shoko Research (Penyelidikan Perdagangan Tokyo) mula melakukan penyelidikan. Ini hampir separuh daripada 86 kes kebocoran dan kehilangan data pada tahun 2019, dengan jumlah kebocoran dan kehilangan adalah 8,902,078 kes, yang merangkumi 98.5% daripada jumlah keseluruhan pada tahun 2019 (9,031,734 kes). Selain daripada contoh yang dinyatakan di atas, banyak akses tidak sah telah dikenal pasti pada tahun 2019, termasuk contoh-contoh berikut.
Kes bagi Syarikat Penjualan Barang Kereta
Pada 26 Februari, akses tidak sah telah berlaku di kedai dalam talian yang diuruskan oleh Hase-Pro Co., Ltd., sebuah syarikat yang menjual barang kereta, disebabkan oleh kelemahan laman web yang disalahgunakan. Skrin pembayaran palsu telah dipaparkan dan maklumat kad kredit yang dimasukkan oleh pengguna telah bocor.
Kes “Buku Pergigian Dot Com”
Pada 25 Mac, akses tidak sah telah berlaku pada pelayan web “Buku Pergigian Dot Com” yang diuruskan oleh Quintessence Publishing Co., Ltd., sebuah syarikat penerbitan khusus pergigian, dan maklumat peribadi pengguna laman web telah bocor. Bagi pelanggan yang menggunakan pembayaran kad kredit, maklumat kad kredit termasuk kod keselamatan juga telah bocor. Selain itu, maklumat peribadi pengguna lain termasuk laman web pekerjaan pergigian dan Persidangan Pergigian Antarabangsa Jepun juga telah bocor, dengan jumlah maksimum 23,000 rekod maklumat peribadi yang bocor.
Kes ‘Galeri Nanatsuboshi’
Pada 12 April, akses tidak sah telah berlaku di ‘Galeri Nanatsuboshi’, laman web penjualan komunikasi produk berkaitan dengan kereta api pelancongan ‘Nanatsuboshi di Kyushu’ milik Kyushu Passenger Railway Co., Ltd., dan maklumat peribadi termasuk maklumat kad kredit pelanggan telah bocor. Untuk 3086 ahli yang telah mendaftar maklumat kad kredit, terdapat kemungkinan kod keselamatan juga termasuk, dan untuk ahli yang tidak mendaftar maklumat kad dan pengguna lain yang menggunakan laman web, telah diumumkan bahawa terdapat kemungkinan kebocoran maklumat untuk 5120 kes.
Kes Servis Monitor Soal Selidik ‘An dan Keit’
Pada 23 Mei, akses tidak sah yang menyalahgunakan kelemahan pelayan telah berlaku di servis monitor soal selidik ‘An dan Keit’ yang diuruskan oleh Syarikat Aplikasi Pemasaran. Maklumat peribadi dari 770,740 akaun yang didaftarkan telah bocor. Menurut laporan, maklumat tersebut termasuk alamat e-mel, jantina, pekerjaan, tempat kerja, dan maklumat berkaitan akaun bank.
Kes ‘Yamada Webcom & Yamada Mall’
Pada 29 Mei, akses tidak sah telah berlaku di ‘Yamada Webcom & Yamada Mall’ yang diurus oleh Syarikat Yamada Denki. Aplikasi pembayaran telah diubah suai dan sebanyak 37,832 rekod maklumat pelanggan yang didaftarkan semasa tempoh tersebut telah bocor.
Dalam Kes Kad AEON
Pada 13 Jun, log masuk tidak sah melalui serangan senarai kata laluan telah berlaku pada kad AEON milik AEON Credit Service Co., Ltd. Dapat disahkan bahawa 1917 akaun berada dalam keadaan yang membolehkan log masuk tidak sah, dan di antara itu, log masuk tidak sah telah berlaku pada 708 akaun, dan kerugian penggunaan tidak sah berjumlah kira-kira 22 juta yen telah diumumkan. Penyerang telah melancarkan serangan senarai kata laluan pada ‘AEON Square’ laman web rasmi dan mendapatkan maklumat akaun pengguna secara tidak sah, mengubah maklumat pendaftaran aplikasi rasmi ke alamat lain menggunakan fungsi pengubahan maklumat pendaftaran, dan dipercayai telah menggunakan dana melalui fungsi penggabungan pembayaran.
Kes Aplikasi ‘Vpass’ Kad Mitsui Sumitomo
Pada 23 Ogos, Syarikat Kad Mitsui Sumitomo mengumumkan bahawa terdapat kemungkinan sebanyak 16,756 rekod ID pelanggan dalam aplikasi smartphone ‘Vpass’ yang ditujukan untuk ahli telah diceroboh secara tidak sah. Akses tidak sah ini dikenal pasti melalui kajian pemantauan yang dijalankan secara berkala oleh syarikat tersebut. Dalam penyiasatan terhadap punca, didapati bahawa sebahagian besar daripada kira-kira 5 juta percubaan log masuk adalah daripada yang tidak berdaftar dengan perkhidmatan ini, yang menunjukkan serangan jenis senarai kata laluan.
Kes ‘J-Coin Pay’ Bank Mizuho
Pada 4 September, Mizuho Financial Group Inc. (Bank Mizuho) telah mengumumkan bahawa sistem ujian untuk pengurusan kedai yang berdaftar dengan ‘J-Coin Pay’, perkhidmatan yang mereka tawarkan, telah menerima akses yang tidak sah, dan maklumat 18,469 kedai yang berdaftar dengan J-Coin telah bocor.
Kes ’10mois WEBSHOP’
Pada 19 September, kedai online ’10mois WEBSHOP’ milik Syarikat Berhad Ficelle telah mengalami akses tidak sah, dan telah mengumumkan bahawa 108,131 maklumat peribadi pelanggan dan 11,913 maklumat kad kredit telah bocor. Maklumat kad kredit juga termasuk kod keselamatan.
Kes Laman Web Rasmi Kyoto Ichinoden
Pada 8 Oktober, laman web rasmi syarikat Kyoto Ichinoden, yang terkenal dengan produk seperti pickles Kyoto Barat, telah mengalami akses tidak sah dan borang pembayaran telah diubah suai. Sebanyak 18,855 maklumat kad kredit termasuk kod keselamatan, dan 72,738 rekod seperti maklumat ahli dan sejarah penghantaran telah bocor.
Kes ‘Belanja dengan Zojirushi’
Pada 5 Disember, Zojirushi Mahobin Co., Ltd., yang mengendalikan ‘Belanja dengan Zojirushi’, telah mengumumkan bahawa akses tidak sah telah berlaku dan terdapat kemungkinan sebanyak 280,052 rekod maklumat pelanggan telah bocor. Punca akses tidak sah ini dipercayai adalah kerentanan dalam laman web, dan syarikat tersebut telah menghentikan penerbitan laman web belanja sejak 4 Disember.
Kes Servis Novel Elektronik ‘Novelba’
Pada 25 Disember, akses tidak sah telah berlaku terhadap servis novel elektronik ‘Novelba’ yang diuruskan oleh Syarikat Beeglee, dan maklumat peribadi termasuk alamat e-mel bagi 33,715 pendaftar telah bocor. Selain itu, terdapat kemungkinan maklumat akaun juga telah bocor bagi 76 pengguna yang telah mendaftar dalam program ganjaran, dan ini mungkin membawa kepada kemungkinan kerosakan sekunder.
Rumusan
Langkah-langkah yang sesuai untuk mencegah kebocoran dan kehilangan maklumat telah menjadi isu penting bagi semua organisasi dan syarikat yang mengendalikan maklumat peribadi. Khususnya, dalam perniagaan kecil yang kurang sumber kewangan dan manusia berbanding syarikat tersenarai, insiden kebocoran boleh memberikan kerosakan yang membawa maut kepada pengurusan. Tindakan keselamatan dan pembentukan sistem pengurusan maklumat adalah penting. Dengan penggunaan data besar dan sebagainya, maklumat peribadi semakin penting. Pada masa yang sama, langkah-langkah keselamatan terhadap akses yang semakin canggih dan licik, dan pengurusan maklumat yang ketat, telah menjadi prasyarat penting untuk pengurusan risiko.