Tendenser for personvernbrudd og tap av data i 2019

Ifølge Tokyo Shoko Research, i 2019, offentliggjorde 66 selskaper og deres datterselskaper personlige datalekkasjer og tapshendelser. Antall hendelser var 86, og det ble lekket personopplysninger tilsvarende 9,031,734 personer. I 2019 var det to store hendelser hvor mer enn en million personopplysninger ble lekket. Den betalingstjenesten “7pay” som ble introdusert av den store detaljhandelskjeden Seven & I Holdings, ble tvunget til å avslutte tjenesten på grunn av ulovlig bruk. Dette understreket igjen viktigheten av sikkerhetstiltak.

I tilfellet med “Takufairu Bin”

Den 22. januar 2019 ble det oppdaget en mistenkelig fil på serveren til filoverføringstjenesten “Takufairu Bin”, som drives av OGIS Research Institute, et heleid datterselskap av Osaka Gas. Dette førte til at det ble avdekket en informasjonslekkasje. En ytterligere undersøkelse bekreftet også mistenkelige tilgangslogger, og for å forhindre ytterligere skade ble tjenesten stanset den 23. januar, og en første rapport ble utgitt. Den 25. januar ble informasjonslekkasjen bekreftet.

Antall lekkasjer var 4,815,399 (betalende medlemmer: 22,569, gratis medlemmer: 4,753,290, tidligere medlemmer: 42,501), og lekkasjen inneholdt navn, e-postadresser for innlogging, passord, fødselsdatoer, kjønn, yrke/bransje/jobbtittel, og navn på bostedsfylke. Dette antallet lekkasjer er det nest høyeste i historien, etter den ulovlige innhentingen av personlig informasjon fra 35,04 millioner kunder av en kontraktsansatt hos Benesse i 2014.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Etter dette gjennomførte OGIS Research Institute en gjennomgang og styrking av sikkerheten, og vurderte gjenoppretting, men siden det ikke var mulig å forutsi en systemrekonstruksjon, ble det annonsert den 14. januar 2020 at tjenesten ville bli avsluttet den 31. mars 2020.

Hvis du bruker den samme e-postadressen og passordet som du registrerte med “Takufairu Bin”, og den samme bruker-IDen (e-postadresse) og passordet for å bruke andre nettjenester, er det også en risiko for at tredjeparter som har fått tak i lekkasjene, kan logge seg på disse nettjenestene ulovlig, eller såkalt “utgi seg for å være deg”.

Tilfellet med Toyota Mobility

Toyota Mobility, et salgsselskap under Toyota Motor Corporation, ble utsatt for et cyberangrep den 21. mars 2019 (Heisei 31). Det ble annonsert at opptil 3,1 millioner personopplysninger kan ha lekket fra nettverksserveren, da åtte tilknyttede salgsselskaper som deler samme systeminfrastruktur ble målrettet. Heldigvis har det blitt annonsert at kredittkortinformasjon ikke har lekket, så det er kanskje mindre sannsynlig at det vil utvikle seg til økonomiske problemer. Men siden det er informasjon om kunder som har kjøpt biler, kan det være at den blir handlet til høy pris mellom listebrokerne, og skaden kan ikke nødvendigvis begrenses.

Til tross for at Toyota Mobility har oppnådd Privacy Mark (P-Mark), har de stått overfor et problem med lekkasje av personopplysninger, noe som tvinger dem til å ta viktige valg i fremtidige sikkerhetstiltak. I tillegg kan det sies at denne personopplysningslekkasjen beviser at det ikke kan forhindres med de nåværende sikkerhetstiltakene. Det vil være nødvendig å realisere et mer avansert nivå av personvernadministrasjon enn sikkerhetssystemet som har oppnådd Privacy Mark (P-Mark).

Slik som i tilfellet med Benesse, hvis det blir bestemt at personvernadministrasjonen ikke er tilstrekkelig i fremtiden, kan Privacy Mark (P-Mark) bli ugyldig. Hvis Privacy Mark (P-Mark) blir ugyldig, er det en risiko for at tilliten vil gå tapt, noe som vil være et stort problem.

Tilfellet med “7pay”

Betalingsløsningen “7pay”, introdusert av Seven & i Holdings, ble utsatt for svindel den 2. juli 2019, dagen etter tjenesten ble lansert. Brukere rapporterte om transaksjoner de ikke kjente igjen, og en intern undersøkelse avdekket svindelen den 3. juli.

Selskapet stoppet umiddelbart alle påfyllinger fra kreditt- og debetkort, og fra 4. juli ble også ny registrering av tjenesten midlertidig stoppet. Samme dag ble alle påfyllinger midlertidig stoppet.

Antall ofre for den uautoriserte tilgangen ble rapportert til å være 808, med et totalt tap på 38,615,473 yen. Det ble antatt at angrepet var en liste-basert angrep, en metode der IDer og passord som tidligere har lekket på nettet fra andre selskaper, blir mekanisk inntastet. Det er sagt at det ble gjort minst flere titalls millioner forsøk, og antall vellykkede innlogginger oversteg antallet av de 808 ofrene. Årsaker til at de ikke kunne forhindre liste-basert konto-hacking inkluderer utilstrekkelige tiltak mot innlogging fra flere enheter, mangel på vurdering av ekstra autentisering som tofaktorautentisering, og at de ikke kunne verifisere optimaliseringen av hele systemet tilstrekkelig.

Den 1. august holdt Seven & i Holdings en nødpressekonferanse i Tokyo, hvor de kunngjorde at “7pay” ville bli avsluttet ved midnatt 30. september. De tre hovedgrunnene til at tjenesten ble avviklet er som følger:

• Det antas at det vil ta en betydelig tid å fullføre en grundig respons, inkludert påfylling, for å gjenoppta alle “7pay” tjenester.
• Hvis tjenesten skulle fortsette i mellomtiden, ville det bare være i en ufullstendig form, “bare for bruk (betaling)”.
• Kundene har fortsatt bekymringer om denne tjenesten.

Seven & i Holdings’ manglende bevissthet om nettsikkerhet og dårlig samarbeid innad i gruppen ble avslørt, noe som tvang dem til å trekke seg ut på en uvanlig kort tid. Dette snublet av en stor distributør har ført til bekymring for kontantløse betalinger, som regjeringen har flagget for.

Uniqlo-tilfellet

Den 10. mai 2019 ble det bekreftet at det hadde skjedd uautoriserte innlogginger på Uniqlos nettbutikk, utført av tredjeparter som ikke var brukerne selv.

Mellom 23. april og 10. mai ble det utført uautoriserte innlogginger på kontoer ved hjelp av en liste-basert angrepsmetode. Antallet berørte kontoer, registrert på Uniqlos offisielle nettbutikk og GU’s offisielle nettbutikk, ble oppgitt til å være 461,091. Den potensielt eksponerte personlige informasjonen til brukerne inkluderte navn, adresse (postnummer, bydel, by, gate, romnummer), telefonnummer, mobilnummer, e-postadresse, kjønn, fødselsdato, kjøpshistorikk, navn og størrelse registrert i “Min størrelse”, samt deler av kredittkortinformasjon (kortholderens navn, utløpsdato, deler av kredittkortnummeret).

De identifiserte kildene til de uautoriserte innloggingsforsøkene ble blokkert, og overvåkingen av annen tilgang ble styrket. For bruker-ID-er som potensielt kunne ha blitt eksponert, ble passordene deaktivert den 13. mai, og brukerne ble individuelt kontaktet via e-post med anmodning om å tilbakestille passordene. I tillegg ble saken rapportert til Tokyo Metropolitan Police Department.

Dette er et eksempel som er både ubehagelig og bekymringsfullt, da det ikke bare involverer grunnleggende personlig informasjon som navn, adresse, telefonnummer, mobilnummer, e-postadresse og fødselsdato, men også privat informasjon som kjøpshistorikk og navn og størrelse registrert i “Min størrelse”.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Tilfellet med Kanagawa fylkesadministrasjon

Det ble avdekket den 6. desember 2019 (Reiwa 1) at informasjon, inkludert personopplysninger og administrative dokumenter, hadde lekket ut som et resultat av videresalg av harddisker (HDD) som ble brukt i Kanagawa fylkesadministrasjon. Fujitsu Lease, som har en leieavtale med Kanagawa fylke for servere og lignende, fjernet HDD fra serverne de leide ut i vår 2019 og delegerte avhendingen til et resirkuleringsselskap. En ansatt i selskapet tok med seg noen av HDD-ene og solgte dem på Yahoo Auctions uten å ha initialisert dem. En mann som driver et IT-selskap kjøpte ni av dem, og da han sjekket innholdet, oppdaget han data som syntes å være offisielle dokumenter fra Kanagawa fylke. Han informerte en avis, som bekreftet med fylket at det hadde skjedd en lekkasje.

Ifølge en kunngjøring fra fylket den 6. desember, ble totalt 18 HDD-er tatt med, hvorav ni allerede hadde blitt hentet inn, og de resterende ni ble senere hentet inn. Informasjonen som lekket ut inkluderte data som inneholdt personopplysninger, som skattesedler med person- og bedriftsnavn, varsler etter skatteundersøkelser med bedriftsnavn, skatteregistre for bilskatt med personnavn og adresser, bedriftens innsendte dokumenter, fylkesansattes arbeidslogger og registre. Siden hver av de medbrakte HDD-ene har en lagringskapasitet på 3 TB, er det mulig at opptil 54 TB data har lekket ut fra de 18 enhetene.

Kanagawa fylke hadde gjort følgende grunnleggende feil:

• De hadde ikke vurdert kryptering på maskinvarenivå for filserveren der administrative dokumenter og lignende ble lagret, og hadde konfigurert den til å lagre rådata.
• De hadde ikke mottatt en fullføringsattest eller lignende, selv om de hadde bestemt at når de returnerte utstyr som inneholdt viktig informasjon til leasingselskapet, skulle de slette all data med initialiseringsoperasjoner før leasingselskapet utførte data sletting operasjoner.
• En resirkuleringsoperatør, som ikke var kjent for de ansvarlige, hadde hentet leieutstyret.

Fujitsu Lease hadde også gjort følgende grunnleggende feil:

• De hadde overlatt alt ansvar for utstyrsavhending (resirkulering) til resirkuleringsselskapet.
• De hadde ikke bedt resirkuleringsselskapet om å utstede et sertifikat som bekreftet at dataene var fullstendig slettet, selv om leieavtalen krevde at de skulle levere et slikt sertifikat til fylket.

Det er ikke nødvendig å diskutere resirkuleringsselskapet. Det er tydelig at de også hadde gjort grunnleggende feil.

Jeg tror at mangelen på sikkerhetsbevissthet og den ansvarsfraskrivende holdningen til å overlate alt til andre, som er felles for de tre involverte organisasjonene, har ført til dette dårlige resultatet.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Tilfeller av annen uautorisert tilgang

Ulykker forårsaket av uautorisert tilgang, som har stor skade og påvirker et bredt område, øker år etter år. I 2019 var det rapportert om 41 tilfeller (fra 32 selskaper), det høyeste antallet på de åtte årene siden Tokyo Shōkō Research begynte sin undersøkelse. Dette utgjorde nesten halvparten av de 86 tilfellene av informasjonslekkasje og tap av data i 2019, med antall lekkasjer og tapte data på 8,902,078, noe som utgjorde 98,5% av det totale antallet for 2019 (9,031,734). I tillegg til de nevnte eksemplene, ble det i 2019 avslørt mange tilfeller av uautorisert tilgang, inkludert følgende eksempler.

I tilfellet med et selskap som selger bildeler

Den 26. februar opplevde nettbutikken drevet av Hase-Pro Co., Ltd., et selskap som selger bildeler, uautorisert tilgang på grunn av utnyttelse av nettstedets sårbarheter. En falsk betalingsskjerm ble vist, og kredittkortinformasjonen som brukerne hadde lagt inn, ble lekket.

Tilfellet med “Tannlegelitteratur.com”

Den 25. mars opplevde webserveren til “Tannlegelitteratur.com”, drevet av Quintessence Publishing Co., Ltd., et spesialisert tannlegeforlag, en uautorisert tilgang. Dette resulterte i lekkasje av personlig informasjon til brukere av nettstedet. For kunder som brukte kredittkortbetaling, ble også kredittkortinformasjon, inkludert sikkerhetskoden, lekket. I tillegg ble opptil 23 000 personopplysninger lekket, inkludert personlig informasjon fra brukere av tannlege jobbnettsteder og den japanske internasjonale tannlegekonferansen.

Tilfellet med “NanatsuboshiGallery”

Den 12. april opplevde “NanatsuboshiGallery”, en nettbutikk for relaterte produkter til Kyushu Passenger Railway Company’s cruise tog “Nanatsuboshi in Kyushu”, et uautorisert tilgang. Personlig informasjon, inkludert kundenes kredittkortinformasjon, ble lekket. Det er mulig at sikkerhetskoden også er inkludert for 3086 medlemmer som har registrert kredittkortinformasjonen sin. Det ble også annonsert at det er en mulighet for informasjonslekkasje for 5120 saker, inkludert medlemmer som ikke har registrert kortinformasjon og andre brukere som har brukt nettstedet.

I tilfellet med spørreundersøkelsestjenesten “An to Keito”

Den 23. mai opplevde spørreundersøkelsestjenesten “An to Keito”, drevet av Marketing Applications Inc., et uautorisert tilgangsangrep som utnyttet serverens sårbarheter. Personlig informasjon fra 770,740 registrerte kontoer ble lekket. Det er rapportert at informasjonen inkluderte e-postadresser, kjønn, yrke, arbeidsplass og bankrelatert informasjon.

I tilfellet med “Yamada Webcom-Yamada Mall”

Den 29. mai opplevde “Yamada Webcom-Yamada Mall”, drevet av Yamada Electric Co., Ltd., uautorisert tilgang. Betalingsapplikasjonen ble manipulert, og opptil 37 832 kunderegistreringer som ble registrert i løpet av perioden, ble lekket.

I tilfellet med AEON-kortet

Den 13. juni ble det rapportert om uautorisert innlogging på AEON-kortet, utstedt av AEON Credit Service Co., Ltd., som et resultat av et passordlisteangrep. Det ble bekreftet at uautorisert innlogging var mulig på 1917 kontoer, og blant disse ble det faktisk utført uautorisert innlogging på 708 kontoer. Det ble annonsert at det hadde oppstått skade som følge av uautorisert bruk til en total verdi av omtrent 22 millioner yen. Angriperne antas å ha utført et passordlisteangrep på den offisielle nettsiden “AEON Square”, ulovlig tilegnet seg brukerkontoopplysninger, endret registreringsinformasjonen på den offisielle appen til en annen kontakt, og brukt midler gjennom betalingskoblingsfunksjonen.

I tilfellet med Mitsui Sumitomo-kortet “Vpass-app”

Den 23. august kunngjorde Mitsui Sumitomo Card Co., Ltd. at det var en mulighet for at opptil 16 756 kundens ID-informasjon kunne ha blitt ulovlig tilgang til i deres medlems-smarttelefonapp “Vpass-app”. Uautorisert tilgang ble bekreftet gjennom selskapets regelmessige overvåkingsundersøkelser, og da de undersøkte årsaken, ble det antatt å være et passordlisteangrep, da det meste av omtrent 5 millioner innloggingsforsøk ikke var registrert i tjenesten.

Tilfellet med Mizuho Bank “J-Coin Pay”

Den 4. september kunngjorde Mizuho Financial Group (Mizuho Bank), at testsystemet som håndterer medlemsbutikkadministrasjonen for “J-Coin Pay” tjenesten, hadde blitt utsatt for uautorisert tilgang, og at 18,469 J-Coin medlemsbutikkopplysninger hadde lekket ut.

I tilfellet med “10mois WEBSHOP”

Den 19. september ble det rapportert om uautorisert tilgang til nettbutikken “10mois WEBSHOP”, drevet av det japanske selskapet Ficelle Ltd. Dette resulterte i lekkasje av 108,131 kundepersonopplysninger og 11,913 kredittkortinformasjoner. Sikkerhetskoden var også inkludert i kredittkortinformasjonen som ble lekket.

Tilfellet med den offisielle nettsiden til Kyoto Ichinoden

Den 8. oktober opplevde den offisielle nettsiden til Kyoto Ichinoden, kjent for sin Saikyo-zuke, uautorisert tilgang, og betalingsformularet ble endret. Kredittkortinformasjon, inkludert sikkerhetskoder, for 18,855 tilfeller, samt medlemsinformasjon og forsendelseshistorikk for 72,738 tilfeller, ble lekket.

I tilfellet med “Shopping med Zojirushi”

Den 5. desember ble det annonsert at det hadde skjedd en uautorisert tilgang til “Shopping med Zojirushi”, drevet av Zojirushi Mahobin Co., Ltd., og det er en mulighet for at opptil 280.052 kunderegistreringer kan ha lekket ut. Årsaken til den uautoriserte tilgangen antas å være sårbarheter på nettstedet, og selskapet har stoppet publiseringen av shoppingnettstedet siden 4. desember.

Tilfellet med elektronisk roman-tjenesten “Novelba”

Den 25. desember ble det oppdaget uautorisert tilgang til den elektroniske roman-tjenesten “Novelba”, drevet av B Gree Co., Ltd. Som et resultat ble personlig informasjon, inkludert e-postadresser til 33,715 registrerte brukere, lekket. I tillegg kan det ha vært en lekkasje av bankinformasjon for 76 brukere som var registrert i belønningsprogrammet, noe som kan føre til sekundær skade.

Oppsummering

Å ta passende tiltak for å forhindre informasjonslekkasje og tap er en viktig oppgave for alle organisasjoner og bedrifter som håndterer personopplysninger. Spesielt for små bedrifter, som har mindre finansielle og menneskelige ressurser sammenlignet med børsnoterte selskaper, kan lekkasjeulykker potensielt forårsake alvorlig skade på virksomheten. Det er nødvendig å ta hensyn til sikkerhetstiltak og etablering av informasjonshåndteringssystemer. Med bakgrunn i effektiv bruk av stordata, blir personopplysninger stadig viktigere. Samtidig blir sikkerhetstiltak mot sofistikerte og uautoriserte tilganger, samt streng informasjonshåndtering, en viktig forutsetning for risikostyring.