Tendências de incidentes de vazamento e perda de informações pessoais no ano de 2019

De acordo com a Tokyo Shoko Research, em 2019, 66 empresas listadas e suas subsidiárias anunciaram incidentes de vazamento ou perda de informações pessoais. O número de incidentes foi de 86, e as informações pessoais vazadas chegaram a um total de 9.031.734 indivíduos. Em 2019, ocorreram dois grandes incidentes em que mais de um milhão de informações pessoais foram vazadas. O serviço de pagamento ‘7pay’ introduzido pela grande retalhista Seven & I Holdings foi forçado a encerrar o serviço devido a uso indevido, destacando novamente a importância das medidas de segurança nesse ano.

No caso do “Takuhai File Bin”

A Aegis General Research, uma subsidiária 100% da Osaka Gas, que operava o serviço de transferência de arquivos “Takuhai File Bin”, descobriu uma fuga de informações em 22 de janeiro de 2019, quando um arquivo suspeito foi encontrado no servidor. Uma investigação adicional confirmou a existência de registos de acesso suspeitos, e para prevenir danos, o serviço foi interrompido no dia 23, com o primeiro relatório sendo divulgado. A fuga de informações foi confirmada no dia 25.

O número de casos de vazamento foi de 4.815.399 (22.569 membros pagos: 4.753.290 membros gratuitos: 42.501 ex-membros), e as informações vazadas incluíam nomes, endereços de e-mail para login, senhas, datas de nascimento, sexo, ocupação/indústria/cargo, e nomes de prefeituras de residência. Este número de casos de vazamento é o segundo maior da história, após o vazamento de informações pessoais de 35,04 milhões de pessoas por um funcionário terceirizado na Benesse em 2014.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Posteriormente, a Aegis General Research realizou inspeções e reforços de segurança e considerou a recuperação, mas como não havia perspectiva de reconstrução do sistema, foi anunciado em 14 de janeiro de 2020 que o serviço seria encerrado em 31 de março de 2020.

Se você usou o mesmo endereço de e-mail e senha de login que registrou no “Takuhai File Bin” para outros serviços web, existe o risco de acesso indevido a esses serviços por terceiros que obtiveram as informações vazadas, ou seja, o chamado “phishing”.

O caso da Toyota Mobility

A Toyota Mobility, uma subsidiária de vendas da Toyota Motor, sofreu um ataque cibernético em 21 de março de 2019. Foi anunciado que um total de oito empresas de vendas relacionadas, que compartilham a mesma infraestrutura de sistema, foram alvo, e até 3,1 milhões de informações pessoais podem ter vazado do servidor de rede. Felizmente, foi anunciado que as informações do cartão de crédito não foram vazadas, então a possibilidade de levar a problemas financeiros pode ser pequena. No entanto, como se trata de informações de clientes que compraram carros, existe a possibilidade de serem negociadas a preços altos entre os operadores de listas, e o dano pode não ser limitado.

Apesar de a Toyota Mobility ter obtido a Marca de Privacidade (P Mark), o fato de ter levado a este problema de vazamento de informações pessoais força a empresa a fazer uma escolha importante em relação às medidas de segurança futuras. Além disso, este vazamento de informações pessoais pode ser dito para provar que as medidas de segurança até agora não foram capazes de prevenir. Será necessário realizar um sistema de gestão de proteção de informações pessoais de nível mais alto do que o sistema de segurança que obteve a Marca de Privacidade (P Mark).

Assim como no caso da Benesse, se o sistema de gestão de proteção de informações pessoais for considerado insuficiente no futuro, a Marca de Privacidade (P Mark) pode ser revogada. Se a Marca de Privacidade (P Mark) for revogada, há o risco de perder a confiança, o que seria um grande problema.

O caso “7pay”

O serviço de pagamento “7pay”, introduzido pela Seven & I Holdings, recebeu uma consulta de um utilizador no dia seguinte ao início do serviço, a 2 de julho de 2019, afirmando que havia transações desconhecidas. Uma investigação interna realizada a 3 de julho revelou que o serviço tinha sido usado fraudulentamente.

Imediatamente, a empresa suspendeu temporariamente todas as operações de carregamento a partir de cartões de crédito e débito, e a partir de 4 de julho, também suspendeu temporariamente novos registos no serviço. No mesmo dia, decidiu-se suspender temporariamente todas as operações de carregamento.

O número de vítimas de acesso não autorizado foi de 808, com um valor total de danos de 38.615.473 ienes. Foi sugerido que o método de acesso não autorizado era provavelmente um ataque de lista, um método que envolve a entrada mecânica de IDs e senhas que foram divulgadas online por outras empresas no passado. Acredita-se que este método foi tentado dezenas de milhões de vezes, com o número de logins bem-sucedidos excedendo as 808 ocorrências de uso fraudulento. As razões para a incapacidade de prevenir o hacking de contas de lista incluem a falta de medidas adequadas contra o login a partir de múltiplos dispositivos, a falta de consideração para autenticação adicional, como a autenticação de dois fatores, e a incapacidade de verificar adequadamente a otimização do sistema como um todo.

A 1 de agosto, a Seven & I Holdings realizou uma conferência de imprensa de emergência em Tóquio, anunciando que o “7pay” terminaria à meia-noite de 30 de setembro. As três razões para a descontinuação do serviço foram as seguintes:

• É esperado que seja necessário um período de tempo considerável para concluir as medidas radicais necessárias para retomar todos os serviços, incluindo carregamentos, no 7pay.
• Se o serviço fosse continuado durante esse período, seria inevitável que ele assumisse uma forma incompleta, com apenas “uso (pagamento)”.
• Os clientes ainda têm preocupações sobre o serviço em questão.

A falta de consciência de segurança cibernética da Seven & I Holdings e a má coordenação dentro do grupo foram expostas uma após a outra, forçando a empresa a retirar-se num período de tempo excepcionalmente curto. Este tropeço de uma grande empresa de distribuição levou a um aumento da ansiedade em relação aos pagamentos sem dinheiro, que o governo japonês tem estado a promover.

O caso da Uniqlo

No dia 10 de maio de 2019, foi confirmado que ocorreram logins não autorizados por terceiros, que não os usuários, no site da loja online operada pela Uniqlo.

Entre 23 de abril e 10 de maio, o número de contas que foram logadas de forma não autorizada através de um ataque de lista foi de 461.091, registadas na loja online oficial da Uniqlo e na loja online oficial da GU. As informações pessoais dos usuários que possivelmente foram visualizadas incluem: nome, endereço (código postal, cidade, distrito, número da casa, número do apartamento), número de telefone, número de telemóvel, endereço de e-mail, sexo, data de nascimento, histórico de compras, nome e tamanho registados no “My Size”, e parte das informações do cartão de crédito (nome do titular, data de validade, parte do número do cartão de crédito).

Identificaram a origem da comunicação onde foram tentados os logins não autorizados e bloquearam o acesso, reforçando a monitorização de outros acessos. No entanto, para os IDs de usuário que possivelmente tiveram suas informações pessoais visualizadas, invalidaram as senhas no dia 13 de maio e contactaram individualmente cada usuário por e-mail para solicitar a redefinição da senha. Também reportaram este caso à Polícia Metropolitana de Tóquio.

Este é um caso perturbador e preocupante, caracterizado não apenas pelo vazamento de informações pessoais básicas, como nome, endereço, número de telefone, número de telemóvel, endereço de e-mail e data de nascimento, mas também por informações privadas, como histórico de compras e nome e tamanho registados no “My Size”.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Caso da Prefeitura de Kanagawa

Foi revelado a 6 de dezembro de 2019 que informações, incluindo documentos administrativos contendo informações pessoais, vazaram devido à revenda de HDDs (Hard Disk Drives) usados na Prefeitura de Kanagawa. A Fujitsu Lease, que tem um contrato de leasing de servidores com a Prefeitura de Kanagawa, removeu o HDD de um servidor que estava a ser alugado na primavera de 2019 e confiou a sua disposição a uma empresa de reciclagem. Um funcionário da empresa levou alguns dos HDDs e os revendeu no Yahoo Auctions sem inicializá-los. Um homem que dirige uma empresa de TI comprou nove deles e, ao verificar o conteúdo, descobriu dados que pareciam ser documentos oficiais da Prefeitura de Kanagawa. Ele forneceu as informações a um jornal, que confirmou com a prefeitura que houve um vazamento.

De acordo com o anúncio da prefeitura na manhã do dia 6, um total de 18 HDDs foram levados, nove dos quais foram recuperados e os restantes nove foram recuperados posteriormente. As informações vazadas incluem notificações de impostos com nomes de indivíduos e empresas, notificações após auditorias fiscais com nomes de empresas, registos de pagamento de impostos sobre veículos com nomes de indivíduos e endereços, documentos submetidos por empresas, registos de trabalho e listas de funcionários da prefeitura, entre outros dados contendo informações pessoais. Cada HDD levado tem uma capacidade de armazenamento de 3TB, portanto, até 54TB de dados podem ter vazado dos 18 discos.

A Prefeitura de Kanagawa cometeu erros básicos, como:

• Não considerar adequadamente a encriptação ao nível do hardware para o servidor de ficheiros onde os documentos administrativos são armazenados, e configurá-lo para armazenar dados brutos
• Apesar de ter acordado que a empresa de leasing iria apagar todos os dados com a inicialização antes de devolver o equipamento que contém informações importantes, não recebeu um certificado de conclusão
• Permitir que uma empresa de reciclagem, da qual o responsável não tinha conhecimento, recolhesse o equipamento alugado

E a Fujitsu Lease também cometeu erros básicos, como:

• Delegar completamente a disposição do equipamento (reciclagem) à empresa de reciclagem
• Apesar de o contrato de leasing exigir que um certificado que comprove que os dados foram completamente apagados seja fornecido à prefeitura, não solicitou à empresa de reciclagem a emissão do certificado

Não há necessidade de discutir a empresa de reciclagem.

Acredito que a falta de consciência sobre a segurança e a atitude irresponsável de delegar responsabilidades, comuns às três organizações envolvidas, resultaram neste resultado lamentável.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Outros casos de acesso não autorizado

Os incidentes causados por acessos não autorizados, que causam grandes danos e têm um amplo impacto, estão a aumentar anualmente. Em 2019, houve um recorde de 41 casos (32 empresas) nos oito anos desde que a Tokyo Shoko Research começou a sua investigação. Isto representa quase metade dos 86 casos de vazamento e perda de informações em 2019, com o número de vazamentos e perdas a atingir 8.902.078, representando 98,5% do total (9.031.734) em 2019. Além dos exemplos mencionados acima, muitos acessos não autorizados foram revelados em 2019, incluindo os seguintes casos.

No caso de uma empresa de venda de produtos automotivos

No dia 26 de fevereiro, ocorreu um acesso não autorizado na loja online operada pela Hase-Pro, uma empresa japonesa que vende produtos automotivos. A vulnerabilidade do site foi explorada e uma tela de pagamento falsa foi exibida, resultando no vazamento das informações de cartão de crédito inseridas pelos usuários.

O caso de “Livros de Odontologia.com”

No dia 25 de março, ocorreu um acesso não autorizado ao servidor web de “Livros de Odontologia.com”, operado pela Quintessence Publishing Co., Ltd., uma editora especializada em odontologia. Como resultado, as informações pessoais dos utilizadores do site foram divulgadas. Para os clientes que utilizaram o pagamento com cartão de crédito, as informações do cartão de crédito, incluindo o código de segurança, também foram divulgadas. Além disso, as informações pessoais dos utilizadores de outros sites, como sites de emprego em odontologia e a Conferência Internacional de Odontologia do Japão, também foram divulgadas, totalizando um máximo de 23.000 casos de informações pessoais divulgadas.

Caso “NanatsuboshiGallery”

No dia 12 de abril, ocorreu um acesso não autorizado na “NanatsuboshiGallery”, um site de venda por correspondência de produtos relacionados com o comboio de cruzeiro “Nanatsuboshi in Kyushu” da Kyushu Passenger Railway Co., Ltd., resultando na fuga de informações pessoais, incluindo informações de cartões de crédito dos clientes. Foi anunciado que há uma possibilidade de que os códigos de segurança estejam incluídos em 3086 membros que registaram informações de cartões de crédito, e que há uma possibilidade de fuga de informações para 5120 itens, incluindo membros que não registaram informações de cartões e informações de utilizadores que utilizaram o site.

No caso do serviço de monitorização de inquéritos “An and Kate”

No dia 23 de maio, ocorreu um acesso não autorizado que explorou a vulnerabilidade do servidor no serviço de monitorização de inquéritos “An and Kate”, operado pela Marketing Applications, Inc. Foram divulgadas informações pessoais de 770.740 contas registadas, incluindo informações como endereços de e-mail, género, profissão, local de trabalho e informações relacionadas com contas bancárias.

Caso “Yamada Webcom & Yamada Mall”

No dia 29 de Maio, ocorreu um acesso não autorizado na “Yamada Webcom & Yamada Mall”, operada pela empresa japonesa Yamada Denki. A aplicação de pagamento foi adulterada e, durante esse período, foram divulgadas até 37.832 informações de clientes registadas.

No caso do Cartão Aeon

No dia 13 de junho, ocorreu um login fraudulento no cartão Aeon da Aeon Credit Service Co., Ltd. devido a um ataque de lista de senhas. Foi confirmado que 1917 contas estavam em condições de permitir um login fraudulento, e dentro dessas, 708 contas sofreram um login fraudulento, resultando num prejuízo total de cerca de 22 milhões de ienes. Acredita-se que o atacante obteve ilegalmente informações da conta do usuário ao lançar um ataque de lista de senhas no “Aeon Square” do site oficial, alterou o contato para outro usando a função de alteração de informações de registro do aplicativo oficial e usou fundos através da função de pagamento integrado.

No caso do aplicativo “Vpass” do Sumitomo Mitsui Card

No dia 23 de agosto, a Sumitomo Mitsui Card Co., Ltd. anunciou que até 16.756 informações de ID de clientes podem ter sido invadidas ilegalmente no aplicativo para smartphones “Vpass” destinado a membros. A invasão ilegal foi confirmada através de uma pesquisa de monitoramento regular realizada pela empresa. Ao investigar a causa, descobriu-se que a maioria das cerca de 5 milhões de tentativas de login não estava registada no serviço, o que é considerado um ataque de lista de senhas.

No caso do ‘J-Coin Pay’ do Banco Mizuho

No dia 4 de setembro, a Mizuho Financial Group, Inc. (Banco Mizuho) anunciou que o sistema de teste para a gestão de lojas afiliadas ao ‘J-Coin Pay’, um serviço que oferecem, sofreu um acesso não autorizado, resultando na fuga de informações de 18.469 lojas afiliadas ao J-Coin.

No caso da “10mois WEBSHOP”

No dia 19 de setembro, foi anunciado que a loja online “10mois WEBSHOP”, da empresa Ficel Ltda., sofreu um acesso não autorizado, resultando na exposição de 108.131 registos de informações pessoais de clientes e 11.913 registos de informações de cartões de crédito. As informações do cartão de crédito incluíam também códigos de segurança.

Caso do site oficial da Kyoto Ichinoden

No dia 8 de outubro, o site oficial da Kyoto Ichinoden, conhecida pela sua produção de pickles de Nishikyo, sofreu um acesso não autorizado e o seu formulário de pagamento foi adulterado. Informações de cartões de crédito, incluindo códigos de segurança, num total de 18.855 registos, bem como informações de membros e histórico de envios, num total de 72.738 registos, foram divulgados.

No caso de “Compras com a Zojirushi”

No dia 5 de dezembro, foi anunciado que a Zojirushi Mahobin Co., Ltd., que opera o “Compras com a Zojirushi”, sofreu um acesso não autorizado, e existe a possibilidade de que até 280.052 informações de clientes tenham sido vazadas. Acredita-se que a causa do acesso não autorizado seja uma vulnerabilidade no site, e a empresa suspendeu a publicação do site de compras desde o dia 4 de dezembro.

Caso do serviço de novelas eletrónicas ‘Novelba’

No dia 25 de dezembro, ocorreu um acesso não autorizado ao serviço de novelas eletrónicas ‘Novelba’, operado pela empresa Beegle Inc., resultando na fuga de 33.715 registos de informações pessoais, incluindo endereços de e-mail dos utilizadores registados. Além disso, existe a possibilidade de que as informações bancárias dos 76 utilizadores registados no programa de recompensas também tenham sido expostas, o que pode levar a danos secundários.

Resumo

Medidas adequadas para prevenir a fuga e perda de informações tornaram-se um problema importante para todas as organizações e empresas que lidam com informações pessoais. Em particular, para pequenas empresas com menos recursos financeiros e humanos do que as empresas cotadas em bolsa, um incidente de fuga de informações pode causar danos fatais à gestão. É essencial tomar medidas de segurança e estabelecer um sistema de gestão de informações. Com o aproveitamento de big data, entre outros, a importância das informações pessoais está a aumentar. Ao mesmo tempo, medidas de segurança contra acessos não autorizados cada vez mais sofisticados e uma gestão rigorosa das informações tornaram-se uma premissa importante para a gestão de riscos.