Trendy wypadków wycieku i utraty danych osobowych w 2019 roku (Rok 2019)
Według Tokyo Shoko Research, w 2019 roku (Roku Heisei 31), 66 firm notowanych na giełdzie i ich spółek zależnych ogłosiło incydenty związane z wyciekiem lub utratą danych osobowych. Liczba incydentów wyniosła 86, a liczba wyciekłych danych osobowych osiągnęła 9 031 734. W 2019 roku doszło do dwóch dużych incydentów, w których wyciekło ponad milion danych osobowych. Usługa płatnicza “7pay” (Siedem Płatności), wprowadzona przez dużą firmę dystrybucyjną Seven & I Holdings, została zmuszona do zaprzestania działalności z powodu nielegalnego wykorzystania, co ponownie zwróciło uwagę na znaczenie środków bezpieczeństwa.
W przypadku usługi “Takufile Bin”
22 stycznia 2019 roku w usłudze przesyłania plików “Takufile Bin”, prowadzonej przez OGIS Research Institute, 100% spółkę zależną Osaka Gas, odkryto podejrzane pliki na serwerze, co doprowadziło do wykrycia wycieku informacji. Dodatkowe śledztwo potwierdziło również podejrzane logi dostępu, a w celu zapobiegania szkodom, usługa została zawieszona 23 stycznia, a pierwsze doniesienia zostały opublikowane. Wyciek informacji został potwierdzony 25 stycznia.
Liczba wycieków wynosiła 4 815 399 (w tym 22 569 płatnych członków, 4 753 290 darmowych członków i 42 501 osób, które zrezygnowały z członkostwa), a wyciekły informacje obejmowały imię i nazwisko, adres e-mail do logowania, hasło, datę urodzenia, płeć, zawód/branżę, nazwę prefektury miejsca zamieszkania itp. Ta liczba wycieków jest drugim największym rekordem w historii, po nielegalnym pozyskaniu informacji o klientach przez pracowników zleconych w Benesse w 2014 roku (35,04 miliona osób).
Po tym incydencie, OGIS Research Institute rozważało przywrócenie usługi i przeprowadziło przegląd i wzmocnienie bezpieczeństwa, ale nie było w stanie przewidzieć rekonstrukcji systemu, więc ogłoszono 14 stycznia 2020 roku, że usługa zostanie zakończona 31 marca 2020 roku.
Jeśli używasz tego samego adresu e-mail i hasła do logowania, które zarejestrowałeś w “Takufile Bin”, do korzystania z innych usług internetowych, istnieje ryzyko, że osoba trzecia, która uzyskała wyciekłe informacje, może nielegalnie zalogować się do tych usług internetowych, tzw. “oszustwo tożsamości”.
Przypadek firmy Toyota Mobility
Toyota Mobility, spółka zależna od Toyota Motor Corporation zajmująca się sprzedażą, poinformowała 21 marca 2019 roku, że padła ofiarą cyberataku. W wyniku ataku, który dotknął łącznie osiem firm sprzedaży związanych z tą samą infrastrukturą systemową, istnieje możliwość, że z serwerów sieciowych mogło wyciec do 3,1 miliona rekordów danych osobowych. Na szczęście, jak podano, nie doszło do wycieku informacji o kartach kredytowych, co może ograniczyć ryzyko bezpośrednich problemów finansowych. Jednakże, jako że są to informacje o klientach, którzy zakupili samochód, istnieje możliwość, że mogą one być przedmiotem drogiej sprzedaży między brokerami danych, co może prowadzić do dalszych szkód.
Mimo posiadania certyfikatu prywatności (P-mark), Toyota Mobility musi teraz stawić czoła ważnym decyzjom dotyczącym przyszłych środków bezpieczeństwa, ze względu na rozwój sytuacji związanej z wyciekiem danych osobowych. Ponadto, ten incydent pokazuje, że dotychczasowe środki bezpieczeństwa nie były w stanie zapobiec wycieku danych. Możliwe, że konieczne będzie wdrożenie bardziej zaawansowanego systemu zarządzania ochroną danych osobowych niż ten, który uzyskał certyfikat prywatności (P-mark).
Podobnie jak w przypadku firmy Benesse, jeśli stwierdzi się, że system zarządzania ochroną danych osobowych jest niewystarczający, może dojść do utraty certyfikatu prywatności (P-mark). Utrata certyfikatu prywatności (P-mark) może prowadzić do utraty zaufania, co stanowi poważny problem.
Przypadek „7pay”
Usługa płatnicza „7pay”, wprowadzona przez Seven & i Holdings, odkryła nieprawidłowe użycie po tym, jak 2 lipca 2019 roku (rok 1 Reiwa), dzień po uruchomieniu usługi, użytkownicy zgłosili „transakcje, o których nie wiedzieli”. Śledztwo wewnętrzne przeprowadzone 3 lipca ujawniło oszustwo.
Natychmiastowo wstrzymano doładowania z kart kredytowych i debetowych, a od 4 lipca wstrzymano również nowe rejestracje w usłudze. Tego samego dnia zdecydowano o tymczasowym wstrzymaniu wszystkich doładowań.
Podano, że liczba ofiar nielegalnego dostępu wynosiła 808 osób, a kwota strat wynosiła 38 615 473 jenów. Sposób nielegalnego dostępu prawdopodobnie polegał na ataku typu lista, który polega na mechanicznym wprowadzaniu identyfikatorów i haseł, które wcześniej wyciekły w Internecie z innych firm. Przynajmniej kilkadziesiąt milionów prób zostało podjętych, a liczba udanych logowań przekroczyła 808 przypadków ofiar oszustwa. Przyczyną, dla której nie udało się zapobiec atakowi typu lista, były niewystarczające środki przeciwko logowaniu z wielu urządzeń, brak odpowiedniego rozważenia dodatkowego uwierzytelnienia, takiego jak uwierzytelnianie dwuetapowe, oraz niewystarczające sprawdzenie optymalizacji całego systemu.
1 sierpnia, Seven & i Holdings ogłosiło na pilnej konferencji prasowej w Tokio, że „7pay” zostanie zakończony o północy 30 września. Podano trzy powody dla decyzji o zaprzestaniu usługi:
- Przewiduje się, że konieczne będzie odpowiednie okres czasu, aby zakończyć gruntowne działania niezbędne do ponownego uruchomienia wszystkich usług, w tym doładowań, dla 7pay.
- Jeśli usługa miała być kontynuowana w tym czasie, musiałaby to być w niepełnej formie, „tylko do użycia (płatności)”.
- Klienci nadal mają obawy dotyczące tej usługi.
Brak świadomości dotyczącej bezpieczeństwa internetowego w Seven & i Holdings i słaba współpraca w grupie zostały ujawnione jeden po drugim, co doprowadziło do niezwykłego szybkiego wycofania. Upadki dużych firm dystrybucyjnych spowodowały niepokój wobec bezgotówkowych płatności, które rząd Japonii promuje.
Przypadek Uniqlo
10 maja 2019 roku potwierdzono, że na stronie sklepu internetowego Uniqlo, doszło do nieautoryzowanego logowania przez osoby trzecie, niebędące właścicielami kont.
Od 23 kwietnia do 10 maja, liczba kont, które zostały zalogowane nieprawidłowo za pomocą ataku typu lista, wynosiła 461 091 na oficjalnej stronie sklepu internetowego Uniqlo i GU. Możliwe jest, że dane osobowe użytkowników, takie jak imię i nazwisko, adres (kod pocztowy, miasto, ulica, numer domu, numer mieszkania), numer telefonu, numer telefonu komórkowego, adres e-mail, płeć, data urodzenia, historia zakupów, imię i rozmiar zarejestrowane w “Moim rozmiarze”, oraz część informacji o karcie kredytowej (nazwisko posiadacza, data ważności, część numeru karty kredytowej) zostały wyświetlone.
Zidentyfikowano źródło komunikacji, z którego próbowano zalogować się nieprawidłowo, i zablokowano dostęp, a także wzmocniono nadzór nad innymi dostępami. Jednak dla identyfikatorów użytkowników, które mogły zostać wyświetlone, hasła zostały unieważnione 13 maja, a prośby o ponowne ustawienie hasła zostały wysłane indywidualnie przez e-mail. Ponadto, zgłoszono ten incydent do Komendy Głównej Policji w Tokio.
Charakterystyczne dla tego przypadku jest to, że oprócz podstawowych danych osobowych, takich jak imię i nazwisko, adres, numer telefonu, numer telefonu komórkowego, adres e-mail, data urodzenia, wyciekły również informacje prywatne, takie jak historia zakupów i imię i rozmiar zarejestrowane w “Moim rozmiarze”. Jest to przykład, który może powodować nieprzyjemności i niepokój.
https://monolith.law/reputation/personal-information-and-privacy-violation[ja]
Przypadek Urzędu Prefektury Kanagawa
6 grudnia 2019 roku (Rok 1 Reiwa) ujawniono, że informacje, w tym dane osobowe zawarte w dokumentach administracyjnych, wyciekły w wyniku odsprzedaży dysków twardych (HDD) używanych w Urzędzie Prefektury Kanagawa. Wiosną 2019 roku, Fujitsu Lease, firma leasingująca serwery i inne urządzenia dla prefektury Kanagawa, usunęła HDD z serwerów, które leasingowała, i powierzyła ich utylizację firmie zajmującej się recyklingiem. Pracownik tej firmy zabrał część HDD i odsprzedał je na Yahoo Auctions bez ich wcześniejszego sformatowania. Mężczyzna prowadzący firmę IT, który zakupił dziewięć z tych dysków, sprawdził ich zawartość i odkrył dane, które wyglądały na dokumenty publiczne prefektury Kanagawa. Poinformował o tym gazetę, która potwierdziła te informacje u prefektury, co doprowadziło do ujawnienia wycieku.
Według ogłoszenia prefektury z 6 grudnia, łącznie zabrano 18 HDD, z których dziewięć zostało już odzyskanych, a pozostałe dziewięć zostało odzyskanych później. Wyciekły dane zawierające nazwiska osób i nazwy firm na zawiadomieniach o opłaceniu podatków, powiadomienia po audytach podatkowych z nazwami firm, zapisy płatności podatku od samochodów z nazwiskami i adresami, dokumenty składane przez firmy, zapisy pracy i listy pracowników prefektury, oraz inne dane osobowe. Każdy z zabranych dysków twardych ma pojemność 3 TB, co oznacza, że maksymalnie mogło wyciec 54 TB danych.
W przypadku prefektury Kanagawa, zauważono podstawowe błędy, takie jak:
- nieprzemyślane przechowywanie dokumentów administracyjnych na serwerach plików bez odpowiedniego szyfrowania na poziomie sprzętowym,
- brak potwierdzenia, że wszystkie dane zostały usunięte przez firmę leasingującą sprzęt po zakończeniu procesu inicjalizacji,
- pozwalanie na odbiór sprzętu leasingowanego przez firmę recyklingową, której działania nie były monitorowane przez odpowiedzialne osoby.
Podobne podstawowe błędy zauważono również w Fujitsu Lease, takie jak:
- całkowite powierzenie procesu utylizacji sprzętu firmie recyklingowej,
- niezlecanie firmie recyklingowej wydania certyfikatu potwierdzającego całkowite usunięcie danych, mimo że taki certyfikat miał być dostarczony prefekturze zgodnie z umową leasingową.
Nie ma potrzeby dyskutować o firmie recyklingowej.
Brak poczucia kryzysu związanego z bezpieczeństwem i nieodpowiedzialne zrzucanie odpowiedzialności, które są wspólne dla wszystkich trzech zaangażowanych organizacji, doprowadziły do tak nieprofesjonalnych wyników.
https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
Inne przypadki nieautoryzowanego dostępu
Wypadki spowodowane nieautoryzowanym dostępem, które powodują duże szkody i mają szeroki wpływ, rosną z roku na roku. W 2019 roku (Rok 1 Reiwa) zgłoszono najwięcej przypadków w ciągu 8 lat od rozpoczęcia badań przez Tokyo Shoko Research, a mianowicie 41 przypadków (32 firmy). To prawie połowa 86 przypadków wycieku i utraty informacji w 2019 roku, a liczba wycieków i utrat wyniosła 8 902 078, co stanowiło 98,5% całkowitej liczby przypadków (9 031 734) w 2019 roku. Oprócz powyższych przykładów, w 2019 roku ujawniono wiele przypadków nieautoryzowanego dostępu, w tym następujące.
W przypadku firmy sprzedającej akcesoria samochodowe
26 lutego doszło do nieautoryzowanego dostępu do sklepu internetowego prowadzonego przez Hase-Pro Co., Ltd., firmę sprzedającą akcesoria samochodowe, poprzez wykorzystanie podatności strony. Wyświetlono fałszywy ekran płatności, co skutkowało wyciekiem wprowadzonych przez użytkowników informacji o kartach kredytowych.
Przypadek „Dentystyczna Książka .com”
25 marca doszło do nieautoryzowanego dostępu do serwera internetowego „Dentystyczna Książka .com”, prowadzonego przez Quintessence Publishing Co., Ltd., specjalizującego się w wydawnictwach dentystycznych. W wyniku tego incydentu doszło do wycieku danych osobowych użytkowników strony. Informacje o kartach kredytowych, w tym kody bezpieczeństwa, klientów korzystających z płatności kartą kredytową również zostały ujawnione. W sumie, wyciekły dane osobowe do 23 000 osób, w tym użytkowników strony z ofertami pracy dla dentystów oraz uczestników Japońskiego Międzynarodowego Kongresu Stomatologicznego.
Przypadek „Galerii Siedmiu Gwiazd”
12 kwietnia doszło do nieautoryzowanego dostępu do „Galerii Siedmiu Gwiazd”, strony internetowej sprzedaży produktów związanych z pociągiem turystycznym „Siedem Gwiazd na Kiusiu” należącym do spółki Kiusiu Passenger Railway. W wyniku tego incydentu doszło do wycieku danych osobowych, w tym informacji o kartach kredytowych klientów. Możliwe jest, że wśród 3086 członków, którzy zarejestrowali informacje o swojej karcie kredytowej, wyciekły również kody bezpieczeństwa. Ogłoszono również, że istnieje możliwość wycieku informacji dotyczących 5120 członków, którzy nie zarejestrowali informacji o karcie kredytowej, oraz innych użytkowników korzystających z serwisu.
Przypadek usługi monitorowania ankiet “An to Keito”
23 maja doszło do nieautoryzowanego dostępu wykorzystującego podatności serwera w usłudze monitorowania ankiet “An to Keito”, prowadzonej przez spółkę Marketing Applications. W wyniku incydentu doszło do wycieku danych osobowych z 770 740 zarejestrowanych kont. Ujawnione informacje obejmowały adresy e-mail, płeć, zawód, miejsce pracy oraz dane związane z kontami bankowymi.
Przypadek “Yamada Webcom Yamada Mall”
29 maja doszło do nieautoryzowanego dostępu do “Yamada Webcom Yamada Mall”, prowadzonego przez Yamada Denki Co., Ltd. Aplikacja do płatności została zmieniona, a w wyniku tego wyciekły dane maksymalnie 37 832 klientów, którzy zarejestrowali się w tym okresie.
W przypadku karty Aeon
13 czerwca doszło do nieautoryzowanego logowania za pomocą ataku listą haseł na kartę Aeon wydaną przez Aeon Credit Service Co., Ltd. Stwierdzono, że możliwe było nieautoryzowane logowanie na 1917 kontach, z czego na 708 z nich faktycznie doszło do nieautoryzowanego logowania. Ogłoszono, że powstało szkody wynikające z nielegalnego korzystania o łącznej wartości około 22 milionów jenów. Atakujący przeprowadzili atak listą haseł na oficjalnej stronie “Aeon Square”, nielegalnie zdobyli informacje o kontach użytkowników, zmienili dane kontaktowe za pomocą funkcji zmiany informacji zarejestrowanych w oficjalnej aplikacji na inne dane, a następnie wykorzystali fundusze za pośrednictwem funkcji płatności.
W przypadku aplikacji “Vpass” firmy Mitsui Sumitomo Card
23 sierpnia, Mitsui Sumitomo Card Co., Ltd. ogłosiła, że istnieje możliwość, że maksymalnie 16 756 identyfikatorów klientów w aplikacji dla członków “Vpass” mogło zostać naruszone. Nieautoryzowany dostęp został potwierdzony przez regularne badania monitorujące przeprowadzane przez firmę. Po zbadaniu przyczyny, stwierdzono, że większość z około 5 milionów prób logowania nie była zarejestrowana w tej usłudze, co wskazuje na atak typu “lista haseł”.
W przypadku “J-Coin Pay” Mizuho Bank
4 września, Mizuho Financial Group (Mizuho Bank) ogłosił, że system testowy do zarządzania sklepami partnerskimi “J-Coin Pay”, który dostarcza usługi, został naruszony przez nieautoryzowany dostęp. Wynikiem tego było wyciek informacji o 18 469 sklepach partnerskich J-Coin.
W przypadku „10mois WEBSHOP”
19 września doszło do nieautoryzowanego dostępu do sklepu internetowego „10mois WEBSHOP” należącego do spółki z ograniczoną odpowiedzialnością Ficelle. Ogłoszono, że w wyniku incydentu wyciekły dane osobowe 108 131 klientów oraz informacje o 11 913 kartach kredytowych, w tym również kody bezpieczeństwa.
Przypadek oficjalnej strony internetowej Kyoto Ichinoden
8 października doszło do nieautoryzowanego dostępu do oficjalnej strony internetowej spółki Kyoto Ichinoden, znanej z produkcji takich produktów jak pikle Nishikyō. Formularz płatności został zmieniony. W wyniku tego incydentu wyciekły dane 18 855 kart kredytowych, w tym kody bezpieczeństwa, a także 72 738 rekordów zawierających informacje o członkach, historię wysyłek i inne dane.
W przypadku “Zakupy w Zojirushi”
5 grudnia firma Zojirushi Mahobin Co., Ltd., która prowadzi “Zakupy w Zojirushi”, ogłosiła, że mogło dojść do nieautoryzowanego dostępu, a maksymalnie 280 052 rekordy informacji klientów mogły zostać wycieknięte. Przyczyną nieautoryzowanego dostępu jest prawdopodobnie podatność na stronie, a firma od 4 grudnia wstrzymała publikację strony sklepu internetowego.
Przypadek serwisu z elektronicznymi powieściami “Novelba”
25 grudnia doszło do nieautoryzowanego dostępu do serwisu z elektronicznymi powieściami “Novelba”, prowadzonego przez spółkę Beegle Inc. W wyniku tego incydentu, doszło do wycieku 33 715 rekordów danych osobowych, w tym adresów e-mail użytkowników. Dodatkowo, istnieje możliwość, że informacje bankowe 76 użytkowników zarejestrowanych w programie nagród również mogły zostać ujawnione, co stwarza ryzyko wtórnych szkód.
Podsumowanie
Wszystkie organizacje i firmy, które przetwarzają dane osobowe, stoją przed ważnym zadaniem wdrożenia odpowiednich środków zapobiegających wyciekom i utracie informacji. Szczególnie dla małych firm, które dysponują mniejszymi zasobami finansowymi i ludzkimi w porównaniu do spółek giełdowych, incydenty związane z wyciekiem danych mogą zadać śmiertelny cios dla ich działalności. Konieczne jest zatem podejmowanie działań w zakresie bezpieczeństwa i tworzenia systemów zarządzania informacjami. W kontekście wykorzystania Big Data, dane osobowe zyskują na znaczeniu. Jednocześnie, zaawansowane i sprytne metody nieautoryzowanego dostępu wymagają surowych środków bezpieczeństwa i zarządzania informacjami, które stają się kluczowym elementem zarządzania ryzykiem.