Trends in Persoonlijke Informatie Leaks en Verlies Incidenten in 2019 (Heisei 31)

Volgens Tokyo Shoko Research waren er in 2019 (Heisei 31) 66 bedrijven, waaronder beursgenoteerde bedrijven en hun dochterondernemingen, die aankondigden dat er persoonlijke informatie was gelekt of verloren gegaan. Het aantal incidenten bedroeg 86, en de gelekte persoonlijke informatie bereikte een totaal van 9.031.734 personen. In 2019 vonden er twee grote incidenten plaats waarbij meer dan een miljoen persoonlijke gegevens werden gelekt. De betalingsdienst ‘7pay’ geïntroduceerd door de grote retailer Seven & I Holdings, werd gedwongen om de dienst te stoppen vanwege onrechtmatig gebruik. Het was een jaar waarin het belang van beveiligingsmaatregelen opnieuw werd benadrukt.

In het geval van “Takufile Bin”

Op 22 januari 2019 werd er een verdacht bestand ontdekt op de server van de bestandsoverdrachtservice “Takufile Bin”, die werd beheerd door OGIS Research Institute, een volledige dochteronderneming van Osaka Gas. Dit leidde tot de ontdekking van een informatie lek. Na verder onderzoek werd er ook een verdacht toegangslogboek gevonden. Om verdere schade te voorkomen, werd de service op 23 januari stopgezet en werd er een eerste rapport uitgebracht. Op 25 januari werd het informatie lek bevestigd.

Het aantal gelekte gevallen bedroeg 4.815.399 (waarvan 22.569 betalende leden, 4.753.290 gratis leden en 42.501 voormalige leden). De gelekte informatie omvatte namen, e-mailadressen voor inloggen, wachtwoorden, geboortedata, geslacht, beroep/industrie/functie en de naam van de prefectuur van de woonplaats. Dit aantal gelekte gevallen is het op één na hoogste in de geschiedenis, na de onrechtmatige verkrijging van persoonlijke informatie van 35,04 miljoen klanten door een contractmedewerker bij Benesse in 2014.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Na het incident heeft OGIS Research Institute overwogen om de beveiliging te controleren en te versterken, maar het was niet mogelijk om een plan voor systeemherbouw op te stellen. Daarom werd op 14 januari 2020 aangekondigd dat de service op 31 maart 2020 zou worden beëindigd.

Als u dezelfde e-mailadres en wachtwoord die u voor “Takufile Bin” heeft gebruikt, ook voor andere webdiensten gebruikt, bestaat er een risico dat derden die de gelekte informatie hebben verkregen, onrechtmatig kunnen inloggen op deze webdiensten, oftewel “identiteitsfraude” kunnen plegen.

Het geval van Toyota Mobility

Toyota Mobility, een verkoopdochteronderneming van Toyota Motor Corporation, werd op 21 maart 2019 (Heisei 31) het slachtoffer van een cyberaanval. Het werd aangekondigd dat er mogelijk maximaal 3,1 miljoen persoonlijke gegevens zijn gelekt van de netwerkserver van acht gerelateerde verkoopbedrijven met een gemeenschappelijk systeemplatform. Gelukkig is aangekondigd dat er geen creditcardinformatie is gelekt, dus de kans op directe financiële problemen is mogelijk klein. Echter, omdat het informatie betreft van klanten die auto’s hebben gekocht, kan het zijn dat deze informatie voor hoge prijzen wordt verhandeld tussen lijstbedrijven, en de schade kan zich nog steeds verspreiden.

Ondanks het feit dat Toyota Mobility een Privacy Mark (P Mark) heeft verkregen, heeft het bedrijf te maken gekregen met dit probleem van persoonlijke informatie lekken. Dit dwingt hen tot belangrijke keuzes in toekomstige beveiligingsmaatregelen. Bovendien bewijst dit lek van persoonlijke informatie dat de huidige beveiligingsmaatregelen niet voldoende zijn om dergelijke incidenten te voorkomen. Er is een noodzaak om een beheersysteem voor persoonlijke informatiebescherming te realiseren dat op een hoger niveau ligt dan het beveiligingssysteem dat de Privacy Mark (P Mark) heeft verkregen.

Zoals ook het geval was bij Benesse, kan het zijn dat de Privacy Mark (P Mark) vervalt als het beheersysteem voor persoonlijke informatiebescherming in de toekomst als onvoldoende wordt beoordeeld. Als de Privacy Mark (P Mark) vervalt, is er een risico op verlies van vertrouwen, wat een groot probleem zou zijn.

Het geval van “7pay”

De betalingsdienst “7pay”, geïntroduceerd door Seven & I Holdings, ontdekte op 3 juli 2019 (de dag na de lancering van de dienst) frauduleus gebruik na een interne onderzoek dat volgde op klachten van gebruikers over onbekende transacties op 2 juli 2019.

Onmiddellijk werd het opladen van creditcards en debetkaarten tijdelijk stopgezet, en vanaf 4 juli werd ook de nieuwe registratie van de dienst tijdelijk stopgezet. Op dezelfde dag werd besloten om alle oplaadacties tijdelijk stop te zetten.

Het aantal slachtoffers van ongeautoriseerde toegang werd aangekondigd als 808, met een totaal schadebedrag van 38.615.473 yen. Het werd vermoed dat de methode van ongeautoriseerde toegang waarschijnlijk een lijstgebaseerde aanval was. Een lijstgebaseerde aanval is een methode waarbij ID’s en wachtwoorden die in het verleden online zijn gelekt van andere bedrijven, mechanisch worden ingevoerd. Het wordt gezegd dat er minstens tientallen miljoenen pogingen zijn gedaan, en het aantal succesvolle inlogpogingen overtrof het aantal van 808 gevallen van frauduleus gebruik. De redenen voor het niet kunnen voorkomen van lijstgebaseerde account hacking omvatten onvoldoende overweging van extra authenticatie zoals tweefactorauthenticatie en maatregelen tegen inloggen vanaf meerdere apparaten, en het niet voldoende kunnen verifiëren van de optimalisatie van het hele systeem.

Op 1 augustus hield Seven & I Holdings een spoedpersconferentie in Tokio en kondigde aan dat “7pay” zou eindigen om middernacht op 30 september. De volgende drie redenen werden gegeven voor de stopzetting van de dienst:

• Het wordt verwacht dat er een aanzienlijke periode nodig zal zijn om een grondige reactie te voltooien die voldoende is om alle diensten, inclusief opladen, op “7pay” te hervatten.
• Als de dienst in de tussentijd zou worden voortgezet, zou het onvermijdelijk zijn dat dit in een onvolledige vorm zou zijn, namelijk “alleen gebruik (betaling)”.
• Klanten hebben nog steeds zorgen over de betreffende dienst.

De laksheid van Seven & I Holdings inzake netwerkbeveiliging en de slechte coördinatie binnen de groep werden een na een blootgelegd, wat leidde tot een ongebruikelijk snelle terugtrekking. De misstap van de grote retailer heeft geleid tot bezorgdheid over de cashless betalingen waar de overheid voor pleit.

Het geval Uniqlo

Op 10 mei 2019 werd bevestigd dat er ongeautoriseerde inlogpogingen waren gedaan door derden op de online winkelsite die door Uniqlo wordt beheerd.

Tussen 23 april en 10 mei werden er 461.091 accounts illegaal ingelogd via een lijsttype aanval op de officiële online winkel van Uniqlo en de officiële online winkel van GU. De persoonlijke informatie van gebruikers die mogelijk bekeken is, omvat naam, adres (postcode, stad, straat, kamernummer), telefoonnummer, mobiel telefoonnummer, e-mailadres, geslacht, geboortedatum, aankoopgeschiedenis, naam en maat geregistreerd in ‘Mijn maat’, en een deel van de creditcardinformatie (naam van de kaarthouder, vervaldatum, deel van het creditcardnummer).

De bron van de ongeautoriseerde inlogpogingen werd geïdentificeerd en de toegang werd geblokkeerd, en de monitoring van andere toegang werd versterkt. Voor gebruikers-ID’s waarvan de persoonlijke informatie mogelijk is bekeken, werden de wachtwoorden op 13 mei gedeactiveerd en werd er individueel contact opgenomen via e-mail om een wachtwoordreset aan te vragen. Bovendien werd er melding gemaakt van dit incident bij de politie van Tokyo.

Het kenmerkende aan dit incident is dat niet alleen basis persoonlijke informatie zoals naam, adres, telefoonnummer, mobiel telefoonnummer, e-mailadres en geboortedatum, maar ook privacygevoelige informatie zoals aankoopgeschiedenis en naam en maat geregistreerd in ‘Mijn maat’ is gelekt. Dit is een onaangenaam en verontrustend incident.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

De zaak van het Kantoor van de Prefectuur Kanagawa

Op 6 december 2019 werd bekend dat er informatie, waaronder persoonlijke gegevens en administratieve documenten, was gelekt als gevolg van de doorverkoop van HDD’s (harddisk drives) die werden gebruikt in het Kantoor van de Prefectuur Kanagawa. Fujitsu Lease, dat een leasecontract heeft met de prefectuur Kanagawa voor servers en dergelijke, had in de lente van 2019 de HDD’s uit hun geleasde servers verwijderd en de verwijdering ervan toevertrouwd aan een recyclingbedrijf. Een medewerker van dit bedrijf nam een deel van de HDD’s mee en verkocht ze op Yahoo Auctions zonder ze te initialiseren. Een man die een IT-bedrijf runt, kocht negen van deze HDD’s en ontdekte gegevens die leken op officiële documenten van de prefectuur Kanagawa toen hij de inhoud controleerde. Hij informeerde een krant, die de prefectuur om bevestiging vroeg, waardoor het lek aan het licht kwam.

Volgens een verklaring van de prefectuur op de ochtend van de 6e waren er in totaal 18 HDD’s meegenomen, waarvan er 9 al waren teruggevonden en de overige 9 later ook werden teruggevonden. De gelekte gegevens bevatten persoonlijke informatie zoals belastingaanslagen met persoons- en bedrijfsnamen, kennisgevingen na belastingonderzoeken met bedrijfsnamen, belastingrecords voor auto’s met persoonsnamen en adressen, ingediende bedrijfsdocumenten, werkrecords en lijsten van provinciale medewerkers. Omdat elke meegenomen HDD een opslagcapaciteit van 3TB heeft, is er mogelijk tot 54TB aan gegevens gelekt van de 18 schijven.

De Prefectuur Kanagawa heeft de volgende basisfouten gemaakt:

• Ze hebben niet voldoende nagedacht over hardware-encryptie voor de fileserver waar administratieve documenten en dergelijke worden opgeslagen, en hebben ervoor gekozen om de gegevens in ruwe vorm op te slaan.
• Hoewel ze hadden afgesproken dat de leasebedrijven alle gegevens zouden wissen na initialisatie wanneer ze apparatuur terugkrijgen waarop belangrijke informatie is opgeslagen, hebben ze geen certificaat van voltooiing ontvangen.
• Ze waren zich er niet van bewust dat een recyclingbedrijf dat ze niet kenden de leaseapparatuur kwam ophalen.

Fujitsu Lease heeft ook de volgende basisfouten gemaakt:

• Ze hadden de verantwoordelijkheid voor het recyclen (weggooien) van apparatuur volledig overgelaten aan het recyclingbedrijf.
• Hoewel het leasecontract vereiste dat ze een certificaat aan de prefectuur zouden verstrekken om aan te tonen dat de gegevens volledig waren gewist, hadden ze het recyclingbedrijf niet gevraagd om een dergelijk certificaat uit te geven.

Over het recyclingbedrijf hoeven we niet eens te discussiëren.

Ik denk dat het gebrek aan bewustzijn over beveiliging en de onverantwoordelijke houding van het afschuiven van verantwoordelijkheden, die gemeenschappelijk zijn aan de drie betrokken organisaties, hebben geleid tot dit onbevredigende resultaat.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Andere gevallen van ongeoorloofde toegang

Incidenten veroorzaakt door ongeoorloofde toegang, die grote schade aanrichten en een breed effect hebben, nemen jaarlijks toe. In 2019 waren er 41 gevallen (32 bedrijven), het hoogste aantal in de acht jaar sinds Tokyo Shoko Research begon met het onderzoek. Dit is bijna de helft van de 86 incidenten van informatie lekken en verlies in 2019, met een totaal van 8.902.078 gevallen, wat 98,5% van het totaal in 2019 (9.031.734 gevallen) vertegenwoordigt. Naast de eerder genoemde voorbeelden waren er in 2019 ook veel gevallen van ongeoorloofde toegang, waaronder de volgende voorbeelden.

In het geval van een autobedrijf

Op 26 februari vond er een ongeautoriseerde toegang plaats op de online winkel die wordt beheerd door Hase-Pro Co., Ltd., een bedrijf dat auto-accessoires verkoopt. Door misbruik te maken van de kwetsbaarheden van de site, werd er een valse betalingspagina weergegeven en lekte de creditcardinformatie die door de gebruikers was ingevoerd.

Het geval van “Tandheelkundeboek.com”

Op 25 maart vond er een ongeautoriseerde toegang plaats op de webserver van “Tandheelkundeboek.com”, beheerd door Quintessence Publishing Co., Ltd., een gespecialiseerde uitgeverij in de tandheelkunde. Hierdoor zijn de persoonlijke gegevens van de gebruikers van de site gelekt. Voor klanten die creditcardbetalingen hebben gebruikt, zijn ook creditcardgegevens, inclusief beveiligingscodes, gelekt. Daarnaast zijn er maximaal 23.000 persoonlijke gegevens gelekt, waaronder die van gebruikers van tandheelkundige vacaturesites en de Japanse Internationale Tandheelkundige Conferentie.

Het geval van ‘NanatsuboshiGallery’

Op 12 april vond er een ongeautoriseerde toegang plaats op de ‘NanatsuboshiGallery’, een online verkoopsite voor gerelateerde producten van de cruise trein ‘Nanatsuboshi in Kyushu’, beheerd door Kyushu Passenger Railway Co., Ltd. Persoonlijke informatie, inclusief creditcardgegevens van klanten, is gelekt. Er is een mogelijkheid dat de beveiligingscode ook is opgenomen in de 3086 leden die creditcardinformatie hebben geregistreerd. Het is ook aangekondigd dat er een mogelijkheid is van informatie lekkage met betrekking tot 5120 gevallen, waaronder leden die geen kaartinformatie hebben geregistreerd en andere gebruikersinformatie van de site.

In het geval van de enquête monitor service ‘An en Kate’

Op 23 mei vond er een ongeautoriseerde toegang plaats door misbruik van serverkwetsbaarheden bij de enquête monitor service ‘An en Kate’, beheerd door Marketing Applications Inc. Er is persoonlijke informatie van 770.740 geregistreerde accounts gelekt. Het lijkt erop dat deze informatie e-mailadressen, geslacht, beroep, werkplek en bankrekening gerelateerde informatie bevatte.

In het geval van “Yamada Webcom Yamada Mall”

Op 29 mei vond er een ongeautoriseerde toegang plaats op “Yamada Webcom Yamada Mall”, beheerd door Yamada Denki Co., Ltd. De betalingsapplicatie werd gewijzigd en er lekte maximaal 37.832 klantgegevens die tijdens deze periode waren geregistreerd.

In het geval van de Aeon-kaart

Op 13 juni vond er een ongeoorloofde inlogpoging plaats op de Aeon-kaart van Aeon Credit Service Co., Ltd. door middel van een wachtwoordlijstaanval. Er is bevestigd dat er ongeoorloofd kon worden ingelogd op 1917 accounts, en er is vastgesteld dat er ongeoorloofde inlogpogingen zijn gedaan op 708 van deze accounts, wat resulteerde in een totaal van ongeveer 22 miljoen yen (ongeveer 170.000 euro) aan frauduleuze schade. De aanvaller wordt ervan verdacht een wachtwoordlijstaanval te hebben uitgevoerd op de officiële ‘Aeon Square’-website, onrechtmatig gebruikersaccountinformatie te hebben verkregen, de contactinformatie te hebben gewijzigd naar een ander contactpunt met behulp van de registratiewijzigingsfunctie van de officiële app, en fondsen te hebben gebruikt via de betalingskoppelingsfunctie.

In het geval van de ‘Vpass-app’ van Mitsui Sumitomo Card

Op 23 augustus heeft Mitsui Sumitomo Card Co., Ltd. aangekondigd dat er mogelijk ongeautoriseerde toegang is geweest tot maximaal 16.756 klant-ID’s in hun smartphone-app voor leden, de ‘Vpass-app’. Ongeautoriseerde toegang werd bevestigd door de reguliere monitoringonderzoeken die het bedrijf uitvoert. Na onderzoek naar de oorzaak bleek dat het merendeel van de ongeveer 5 miljoen inlogpogingen afkomstig was van bronnen die niet geregistreerd waren bij de service, wat wijst op een wachtwoordlijstaanval.

In het geval van Mizuho Bank’s “J-Coin Pay”

Op 4 september heeft Mizuho Financial Group (Mizuho Bank), een Japans bedrijf, aangekondigd dat het testsysteem dat wordt gebruikt voor het beheer van de aangesloten winkels van hun dienst “J-Coin Pay” het doelwit is geweest van ongeautoriseerde toegang, wat heeft geleid tot het lekken van de gegevens van 18.469 J-Coin aangesloten winkels.

In het geval van ’10mois WEBSHOP’

Op 19 september werd aangekondigd dat er ongeautoriseerde toegang was verkregen tot de online winkel ’10mois WEBSHOP’ van het bedrijf Ficelle Ltd., waarbij 108.131 klantgegevens en 11.913 creditcardgegevens waren gelekt. De gelekte creditcardinformatie bevatte ook beveiligingscodes.

Geval van de officiële website van Kyoto Ichinoden

Op 8 oktober vond er een ongeautoriseerde toegang plaats op de officiële website van Kyoto Ichinoden, bekend om zijn West-Kyoto pickles. Het betalingsformulier werd gewijzigd. Informatie van 18.855 creditcards, inclusief beveiligingscodes, en 72.738 records van klantinformatie en verzendgeschiedenis zijn gelekt.

In het geval van ‘Winkelen met Zojirushi’

Op 5 december werd aangekondigd dat er mogelijk een ongeautoriseerde toegang heeft plaatsgevonden tot ‘Winkelen met Zojirushi’, beheerd door Zojirushi Mahobin Co., Ltd., en dat er mogelijk maximaal 280.052 klantgegevens zijn gelekt. De oorzaak van de ongeautoriseerde toegang wordt vermoedelijk toegeschreven aan kwetsbaarheden binnen de site, en het bedrijf heeft de publicatie van de winkelsite sinds 4 december stopgezet.

Geval van de elektronische roman service ‘Novelba’

Op 25 december vond er een ongeautoriseerde toegang plaats tot ‘Novelba’, een elektronische roman service beheerd door Beaglee Inc. Hierbij zijn 33.715 persoonlijke gegevens, inclusief e-mailadressen van geregistreerde gebruikers, gelekt. Bovendien is er een mogelijkheid dat bankgegevens ook zijn gelekt van 76 gebruikers die waren geregistreerd in het beloningsprogramma, wat de mogelijkheid van secundaire schade met zich meebrengt.

Samenvatting

Het nemen van passende maatregelen om informatielekken en -verlies te voorkomen is een belangrijk punt voor alle organisaties en bedrijven die persoonlijke informatie verwerken. Vooral voor kleine bedrijven, die minder financiële en menselijke middelen hebben dan beursgenoteerde bedrijven, kan een lek een fatale impact hebben op de bedrijfsvoering. Het is essentieel om maatregelen te nemen op het gebied van beveiliging en informatiebeheer. Met de toenemende belangrijkheid van persoonlijke informatie tegen de achtergrond van het effectief gebruik van big data, worden geavanceerde beveiligingsmaatregelen tegen onrechtmatige toegang en strikt informatiebeheer een belangrijke voorwaarde voor risicobeheer.