Tendințele incidentelor de pierdere și scurgere de informații personale din anul 2019 (Gregorian calendar year)

Potrivit cercetării realizate de Tokyo Shoko Research, în anul 2019 (Anul Reiwa 1), 66 de companii listate și filialele lor au anunțat incidente de scurgere sau pierdere de informații personale. Numărul total de incidente a fost de 86, iar informațiile personale scurse au ajuns la un total de 9.031.734 de persoane. În 2019, au avut loc două incidente majore în care au fost scurse peste un milion de informații personale. Serviciul de plată ‘7pay’ introdus de gigantul din retail Seven & I Holdings a fost forțat să-și înceteze serviciile din cauza utilizării neautorizate, subliniind încă o dată importanța măsurilor de securitate.

În cazul Takufairu Bin

La data de 22 ianuarie 2019, a fost descoperită o scurgere de informații la serviciul de transfer de fișiere “Takufairu Bin”, dezvoltat de OGIS Research Institute, o filială 100% a Osaka Gas. Un fișier suspect a fost descoperit în server, iar în urma unei investigații suplimentare, au fost identificate și jurnale de acces suspecte. Pentru a preveni daunele, serviciul a fost oprit pe 23 ianuarie și a fost emis primul raport, iar pe 25 ianuarie a fost confirmată scurgerea de informații.

Numărul de cazuri de scurgeri a fost de 4.815.399 (22.569 membri plătitori, 4.753.329 membri gratuit, 42.501 membri retrași), iar informațiile scurse au inclus nume, adrese de e-mail pentru autentificare, parole, date de naștere, sex, ocupație/industrie/funcție, numele prefecturii de reședință etc. Acest număr de cazuri de scurgeri este al doilea cel mai mare din istorie, după cele 35.04 milioane de cazuri de obținere ilegală de informații personale de către un angajat contractat de Benesse în 2014.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Ulterior, OGIS Research Institute a luat în considerare îmbunătățirea și verificarea securității, dar nu a putut estima când va fi reconstruit sistemul și a anunțat pe 14 ianuarie 2020 că serviciul va fi închis la 31 martie 2020.

Dacă utilizați aceeași adresă de e-mail și parolă pentru autentificare pe alte servicii web ca cele înregistrate pe “Takufairu Bin”, există riscul ca persoanele care au obținut informațiile scurse să se autentifice ilegal pe aceste servicii web, ceea ce este cunoscut sub numele de “impersonare”.

Cazul Toyota Mobility

Pe 21 martie 2019, Toyota Mobility, o filială de vânzări a Toyota Motor, a fost ținta unui atac cibernetic. S-a anunțat că există posibilitatea ca până la 3,1 milioane de înregistrări de informații personale să fi fost scurse de pe serverul de rețea, vizând un total de opt companii de vânzări afiliate cu o infrastructură de sistem comună. Din fericire, s-a anunțat că informațiile despre cardurile de credit nu au fost compromise, deci riscul de probleme financiare directe poate fi redus. Cu toate acestea, acestea sunt informații despre clienții care au cumpărat mașini, deci există posibilitatea ca acestea să fie tranzacționate la prețuri ridicate între agențiile de listare, și nu se poate garanta că nu vor exista victime.

În ciuda faptului că Toyota Mobility a obținut marca de confidențialitate (P Mark), faptul că a ajuns la această problemă de scurgere de informații personale îi impune să facă alegeri importante în ceea ce privește măsurile de securitate viitoare. De asemenea, se poate spune că această scurgere de informații personale demonstrează că măsurile de securitate anterioare nu au putut preveni acest lucru. Va fi necesar să se realizeze un sistem de gestionare a protecției informațiilor personale la un nivel mai înalt decât sistemul de securitate care a obținut marca de confidențialitate (P Mark).

La fel ca în cazul Benesse, dacă se consideră că sistemul de gestionare a protecției informațiilor personale nu este suficient în viitor, există posibilitatea ca marca de confidențialitate (P Mark) să devină invalidă. Dacă marca de confidențialitate (P Mark) devine invalidă, există riscul de a pierde încrederea, ceea ce ar fi o problemă majoră.

Cazul “7pay”

Serviciul de plată “7pay”, introdus de Seven & I Holdings, a descoperit utilizarea frauduloasă după ce a primit o solicitare de la un utilizator care a declarat că există tranzacții pe care nu le recunoaște, în ziua următoare lansării serviciului, pe 2 iulie 2019.

Încărcarea de pe cardurile de credit și debit a fost imediat suspendată, iar înregistrarea de noi servicii a fost de asemenea suspendată temporar începând cu 4 iulie, iar în aceeași zi toate încărcările au fost suspendate temporar.

Numărul de victime ale accesului neautorizat a fost de 808, iar suma totală a prejudiciului a fost de 38.615.473 de yeni japonezi. Se crede că metoda de acces neautorizat a fost un atac de tip listă, o metodă care implică introducerea mecanică a ID-urilor și parolelor care au fost scurse pe internet de la alte companii în trecut. Se spune că acest tip de atac a fost încercat de zeci de milioane de ori, iar numărul de logări reușite a depășit cele 808 cazuri de utilizare frauduloasă. Printre motivele pentru care nu s-a putut preveni atacul de tip listă se numără faptul că nu s-au luat suficiente măsuri pentru logările de pe mai multe dispozitive, nu s-a luat în considerare autentificarea în două etape și alte metode de autentificare suplimentare, și faptul că nu s-a putut verifica suficient optimizarea întregului sistem.

Pe 1 august, Seven & I Holdings a ținut o conferință de presă de urgență în Tokyo și a anunțat că “7pay” se va încheia la ora 24:00 pe 30 septembrie. Motivele pentru încetarea serviciului sunt următoarele trei:

• Se estimează că va fi nevoie de o perioadă semnificativă de timp pentru a finaliza măsurile radicale necesare pentru a relua toate serviciile, inclusiv încărcarea, pentru 7pay
• Dacă serviciul ar continua în acest timp, ar trebui să fie într-o formă incompletă, cu “doar utilizare (plată)”
• Clienții încă au îngrijorări cu privire la acest serviciu

Conștientizarea slabă a securității pe internet de către Seven & I Holdings și lipsa de coordonare în cadrul grupului au fost expuse una după alta, forțând retragerea neobișnuit de rapidă. Eșecul unei mari companii de distribuție a dus la creșterea îngrijorărilor cu privire la plățile fără numerar, pe care guvernul le promovează.

Cazul Uniqlo

La 10 mai 2019, s-a confirmat că a avut loc un acces neautorizat de către o terță parte pe site-ul magazinului online operat de Uniqlo.

Între 23 aprilie și 10 mai, numărul de conturi accesate ilegal prin metoda de atac de tip listă a fost de 461.091, înregistrate pe magazinul online oficial Uniqlo și pe magazinul online oficial GU. Informațiile personale ale utilizatorilor care ar fi putut fi vizualizate includ numele, adresa (codul poștal, orașul, adresa, numărul camerei), numărul de telefon, numărul de telefon mobil, adresa de e-mail, sexul, data nașterii, istoricul achizițiilor, numele și mărimea înregistrate în “My Size”, precum și o parte din informațiile despre cardul de credit (numele titularului, data de expirare, o parte din numărul cardului de credit).

S-a identificat sursa comunicațiilor în care s-au încercat accesări neautorizate și s-a blocat accesul, iar supravegherea a fost intensificată pentru alte accesări. Cu toate acestea, pentru ID-urile de utilizator care ar fi putut avea informațiile personale vizualizate, parolele au fost dezactivate la 13 mai și s-a solicitat resetarea parolei prin e-mail individual. De asemenea, s-a raportat acest caz la Poliția Metropolitană din Tokyo.

Acest caz este notabil și deranjant, precum și îngrijorător, deoarece nu numai informațiile personale de bază, cum ar fi numele, adresa, numărul de telefon, numărul de telefon mobil, adresa de e-mail și data nașterii, dar și informațiile private, cum ar fi istoricul achizițiilor și numele și mărimea înregistrate în “My Size”, au fost scurse.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Cazul Prefecturii Kanagawa

A fost descoperit pe 6 decembrie 2019 (Anul Reiwa 1) că informațiile, inclusiv documentele administrative care conțin informații personale, au fost scurse prin revânzarea HDD-urilor (Hard Disk Drive) utilizate la Prefectura Kanagawa. Fujitsu Lease, care are un contract de leasing cu Prefectura Kanagawa pentru servere și alte echipamente, a demontat HDD-urile din serverele pe care le-a închiriat în primăvara anului 2019 și a încredințat eliminarea acestora unei companii de reciclare. Un angajat al companiei a luat o parte din HDD-uri și le-a revândut pe Yahoo Auctions într-o stare care nu a fost inițializată. Un bărbat care conduce o companie IT a cumpărat nouă dintre acestea și, după ce a verificat conținutul, a descoperit date care păreau a fi documente oficiale ale Prefecturii Kanagawa. El a furnizat aceste informații unui ziar, care a confirmat cu prefectura, dezvăluind astfel scurgerea de informații.

Conform anunțului prefecturii din dimineața zilei de 6, un total de 18 HDD-uri au fost luate, dintre care nouă au fost recuperate, iar celelalte nouă au fost de asemenea recuperate ulterior. Informațiile scurse includ notificări de impozitare cu nume personale și de companie, notificări după inspecțiile fiscale cu nume de companii, înregistrări de impozitare a vehiculelor cu nume personale și adrese, documente depuse de companii, înregistrări de muncă și liste de personal ale angajaților prefecturii, și alte date care conțin informații personale. Deoarece fiecare HDD luat are o capacitate de stocare de 3TB, există posibilitatea ca până la 54TB de date să fi fost scurse din cele 18 unități.

Prefectura Kanagawa a făcut următoarele greșeli de bază:

• Nu a luat în considerare suficient criptarea la nivel de hardware pentru serverul de fișiere în care sunt stocate documentele administrative și a păstrat datele în forma lor brută.
• Deși se presupune că toate datele vor fi șterse prin inițializare înainte de a returna echipamentul care conține informații importante companiei de leasing, nu a primit un certificat de finalizare sau alte documente similare.
• Compania de reciclare, a cărei existență nu era cunoscută de persoana responsabilă, a preluat echipamentul de leasing.

Și Fujitsu Lease a făcut următoarele greșeli de bază:

• A lăsat întreaga responsabilitate pentru eliminarea echipamentului (reciclare) în mâinile companiei de reciclare.
• Deși contractul de leasing prevedea că trebuie să furnizeze un certificat care să demonstreze că datele au fost complet șterse, nu a solicitat companiei de reciclare să emită un astfel de certificat.

Nu este nevoie să discutăm despre compania de reciclare.

Lipsa de conștientizare a securității și atitudinea irresponsabilă de a lăsa totul în mâinile altora, comune celor trei organizații implicate, au dus la acest rezultat lamentabil.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

În cazul altor accesări neautorizate

Incidentele cauzate de accesul neautorizat, care au un impact larg și provoacă daune semnificative, sunt în creștere de la an la an. În 2019, Tokyo Shoko Research a raportat un număr record de 41 de cazuri (32 de companii) în cei 8 ani de când a început cercetarea. Aceasta reprezintă aproape jumătate din cele 86 de incidente de scurgere și pierdere de informații din 2019, cu un număr total de 8.902.078 de cazuri, adică 98,5% din totalul de 9.031.734 de cazuri din 2019. Pe lângă exemplele menționate mai sus, în 2019 au fost dezvăluite multe alte accesări neautorizate, inclusiv următoarele cazuri.

În cazul companiilor de vânzare de produse auto

Pe 26 februarie, a avut loc un acces neautorizat la magazinul online operat de Hase-Pro Co., Ltd., o companie care vinde produse auto, prin exploatarea unei vulnerabilități a site-ului. A fost afișată o pagină de plată falsă, iar informațiile despre cardul de credit introduse de utilizatori au fost compromise.

Cazul “CartiDentare.com”

Pe 25 martie, serverul web al “CartiDentare.com”, operat de Quintessence Publishing Co., Ltd., o editură specializată în domeniul dentar, a fost supus unui acces neautorizat, rezultând în scurgerea informațiilor personale ale utilizatorilor site-ului. Informațiile despre cardurile de credit, inclusiv codurile de securitate, ale clienților care au folosit plata cu cardul de credit, au fost, de asemenea, compromise. În plus, informațiile personale ale utilizatorilor altor site-uri, cum ar fi site-uri de recrutare în domeniul dentar și Congresul Internațional de Stomatologie din Japonia, au fost, de asemenea, afectate, cu un total de până la 23.000 de înregistrări de informații personale scurse.

Cazul “Galeria Nanatsuboshi”

Pe 12 aprilie, a avut loc un acces neautorizat la “Galeria Nanatsuboshi”, site-ul de vânzări online pentru produsele asociate cu trenul de croazieră “Nanatsuboshi în Kyushu” al companiei Kyushu Passenger Railway Co., Ltd., rezultând în scurgerea de informații personale, inclusiv detalii ale cardurilor de credit ale clienților. A fost anunțat că există posibilitatea ca informațiile scurse să includă și codurile de securitate pentru 3086 de membri care au înregistrat informații despre cardurile de credit. De asemenea, există posibilitatea unei scurgeri de informații pentru alți 5120 de membri care nu au înregistrat informații despre carduri de credit și pentru utilizatorii care au folosit site-ul în alte moduri.

Cazul serviciului de monitorizare a sondajelor „An și Kate”

Pe 23 mai, a avut loc un acces neautorizat care a exploatat vulnerabilitățile serverului serviciului de monitorizare a sondajelor „An și Kate”, operat de Marketing Applications Inc. Informațiile personale ale 770.740 de conturi înregistrate au fost compromise, inclusiv adrese de e-mail, gen, profesie, locul de muncă și informații legate de contul bancar.

Cazul “Yamada Webcom & Yamada Mall” (Compania Yamada Webcom & Mall Yamada)

Pe 29 mai, a avut loc un acces neautorizat la “Yamada Webcom & Yamada Mall”, operat de Compania Yamada Electric, în urma căruia aplicația de plată a fost modificată. În timpul acestui incident, au fost expuse un număr maxim de 37.832 de înregistrări de informații ale clienților.

În cazul cardului Aeon

Pe 13 iunie, a avut loc un acces neautorizat la cardul Aeon al companiei Aeon Credit Service Co., Ltd., ca urmare a unui atac cu listă de parole. S-a confirmat că era posibil să se efectueze un acces neautorizat pe 1917 conturi, iar dintre acestea, în 708 cazuri a avut loc un acces neautorizat, rezultând în daune de aproximativ 22 de milioane de yeni ca urmare a utilizării neautorizate. Se crede că atacatorul a obținut ilegal informațiile contului de utilizator prin lansarea unui atac cu listă de parole pe site-ul oficial “Aeon Square”, a schimbat detaliile de contact la o altă adresă folosind funcția de modificare a informațiilor înregistrate în aplicația oficială și a utilizat fondurile prin funcția de plată integrată.

Cazul aplicației „Vpass” a Sumitomo Mitsui Card

Pe 23 august, Sumitomo Mitsui Card Co., Ltd. a anunțat că există posibilitatea ca până la 16.756 de informații de identificare ale clienților din aplicația pentru smartphone destinată membrilor, „Vpass App”, să fi fost supuse unui acces neautorizat. Compania a confirmat accesul neautorizat în urma unui studiu de monitorizare pe care îl efectuează în mod regulat și a investigat cauza. Din cele aproximativ 5 milioane de încercări de autentificare, majoritatea nu erau înregistrate în serviciul lor, ceea ce indică un atac de tip listă de parole.

Cazul “J-Coin Pay” al Băncii Mizuho

Pe 4 septembrie, Grupul Financiar Mizuho (Banca Mizuho) a anunțat că sistemul de testare implicat în gestionarea magazinelor afiliate “J-Coin Pay”, un serviciu pe care îl oferă, a fost supus unui acces neautorizat, rezultând în scurgerea a 18.469 de înregistrări de informații despre magazinele afiliate J-Coin.

Cazul “10mois WEBSHOP”

Pe 19 septembrie, magazinul online “10mois WEBSHOP”, operat de compania cu răspundere limitată Fiseru, a anunțat că a fost victima unui acces neautorizat. În urma acestui incident, 108.131 de înregistrări cu informații personale ale clienților și 11.913 înregistrări cu informații despre cardurile de credit au fost compromise. Informațiile despre cardurile de credit includeau și codurile de securitate.

Cazul site-ului oficial al companiei Kyoto Ichinoden

Pe 8 octombrie, site-ul oficial al companiei Kyoto Ichinoden, cunoscută pentru produsele sale precum tsukemono de Kyoto de Vest, a fost victima unui acces neautorizat, iar formularul de plată a fost modificat. Informațiile a 18.855 de carduri de credit, inclusiv codurile de securitate, precum și 72.738 de înregistrări de informații despre membri și istoricul de expediere au fost compromise.

Cazul “Cumpărături la Zojirushi”

Pe 5 decembrie, Zojirushi Corporation, care operează “Cumpărături la Zojirushi”, a anunțat că a avut loc un acces neautorizat și există posibilitatea ca până la 280.052 de înregistrări cu informații ale clienților să fi fost compromise. Se crede că cauza accesului neautorizat este o vulnerabilitate în site, iar compania a suspendat publicarea site-ului de cumpărături începând cu 4 decembrie.

Cazul serviciului de romane electronice “Novelba”

Pe 25 decembrie, a avut loc un acces neautorizat la serviciul de romane electronice “Novelba”, operat de compania Beegle Inc., rezultând în scurgerea a 33.715 înregistrări de informații personale, inclusiv adrese de e-mail ale utilizatorilor. În plus, există posibilitatea ca informațiile bancare ale 76 de utilizatori înregistrați în programul de recompense să fi fost, de asemenea, compromise, ceea ce ar putea duce la daune secundare.

Rezumat

Măsurile adecvate pentru prevenirea scurgerilor și pierderilor de informații sunt o problemă importantă pentru toate organizațiile și companiile care manipulează informații personale. În special, pentru afacerile mici, care dispun de mai puține resurse financiare și umane comparativ cu companiile listate, un incident de scurgere de informații poate provoca daune fatale managementului. Este esențial să se răspundă la crearea unui sistem de securitate și gestionare a informațiilor. În contextul utilizării eficiente a datelor mari, importanța informațiilor personale crește. În același timp, măsurile de securitate împotriva accesului neautorizat care devine mai sofisticat și gestionarea strictă a informațiilor sunt premise importante pentru managementul riscului.