Тенденции инцидентов утечки и потери личной информации в 2019 году

Согласно исследованию Токийского коммерческого исследовательского института, в 2019 году (Григорианский календарь) 66 компаний, включая публичные компании и их дочерние предприятия, объявили о случаях утечки и потери личной информации. Общее количество таких инцидентов составило 86, а объем утекшей личной информации достиг 9 031 734 человек. В 2019 году произошло два крупных инцидента с утечкой более миллиона записей личной информации. В частности, платежная служба “7pay (Семь Пей)”, внедренная крупным ритейлером Seven & I Holdings, была вынуждена прекратить свою деятельность из-за неправомерного использования, что еще раз подчеркнуло важность мер безопасности.

В случае с “Takufile Bin”

22 января 2019 года в файловом сервисе “Takufile Bin”, разработанном Осака Газ и его 100% дочерней компанией Оджис Соукен, был обнаружен подозрительный файл на сервере, что привело к обнаружению утечки информации. Дополнительное расследование подтвердило наличие подозрительных журналов доступа, и для предотвращения дальнейшего ущерба 23 января сервис был приостановлен, а первый отчет был опубликован 25 января, когда утечка информации была подтверждена.

Общее количество утечек составило 4 815 399 (платные пользователи – 22 569, бесплатные пользователи – 4 753 290, ушедшие пользователи – 42 501), а утекшая информация включала имена, адреса электронной почты для входа, пароли, даты рождения, пол, профессию/отрасль/должность, название префектуры места жительства и т.д. Это количество утечек является вторым по величине в истории, после утечки персональных данных 35 040 000 клиентов в 2014 году, вызванной незаконным получением информации о клиентах сотрудником компании Benesse.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

После этого Оджис Соукен провел проверку и усиление безопасности, а также рассмотрел вопрос о восстановлении, но не смог представить план по перестройке системы. 14 января 2020 года было объявлено, что сервис будет прекращен с 31 марта 2020 года.

Если вы использовали тот же адрес электронной почты и пароль для регистрации в “Takufile Bin” и для других веб-сервисов, существует риск незаконного входа в эти веб-сервисы третьими лицами, которые получили утечку информации, или так называемого “мошенничества по вымогательству”.

Случай с компанией “Тойота Мобилити”

21 марта 2019 года компания “Тойота Мобилити”, дочерняя компания по продажам автомобилей “Тойота”, подверглась кибератаке. В результате атаки, восемь связанных продажных компаний, имеющих общую системную инфраструктуру, стали целью, и возникла возможность утечки до 3,1 миллиона записей личной информации с сетевого сервера. К счастью, было объявлено, что информация о кредитных картах не была утрачена, поэтому вероятность прямого финансового ущерба может быть невелика. Однако, поскольку это информация о клиентах, купивших автомобили, существует вероятность, что она может быть продана по высокой цене между операторами списков, и ущерб может распространиться.

Несмотря на то, что компания “Тойота Мобилити” получила марку конфиденциальности (P-марку), она столкнулась с проблемой утечки личной информации, что ставит перед ней важный выбор в отношении будущих мер безопасности. Кроме того, утечка личной информации в этом случае доказывает, что невозможно предотвратить ее с помощью текущих мер безопасности. Возможно, потребуется реализация системы управления защитой личной информации на более высоком уровне, чем система безопасности, получившая марку конфиденциальности (P-марка).

Таким образом, как и в случае с “Бенессе”, если считается, что система управления защитой личной информации в будущем недостаточна, может произойти аннулирование марки конфиденциальности (P-марка). Если марка конфиденциальности (P-марка) аннулирована, существует риск потери доверия, что становится большой проблемой.

Случай с «7pay»

Платежная служба «7pay», внедренная компанией Seven & i Holdings, столкнулась с проблемами уже на следующий день после запуска 2 июля 2019 года. Пользователи обратились с вопросами о транзакциях, которые они не признавали, и в результате внутреннего расследования, проведенного 3 июля, было обнаружено неправомерное использование.

Компания немедленно приостановила пополнение с кредитных и дебетовых карт, а с 4 июля также временно приостановила новые регистрации в службе. В тот же день было принято решение о временной приостановке всех пополнений.

Было объявлено, что число жертв незаконного доступа составило 808 человек, а общая сумма ущерба составила 38 615 473 иены. Предполагается, что метод незаконного доступа был списочной атакой, при которой ID и пароли, ранее утекшие в Интернет от других компаний, вводились автоматически. Этот метод был применен, по меньшей мере, десятки миллионов раз, и количество успешных входов превысило 808 случаев неправомерного использования. Причинами, по которым не удалось предотвратить списочный взлом аккаунтов, являются недостаточные меры против входа с нескольких устройств, недостаточное рассмотрение дополнительной аутентификации, такой как двухфакторная аутентификация, и недостаточная проверка оптимизации всей системы.

1 августа Seven & i Holdings провела экстренную пресс-конференцию в Токио, на которой объявила о прекращении «7pay» с 24:00 30 сентября. Причины прекращения службы включают в себя следующие три пункта:

• Предполагается, что для полного восстановления всех услуг «7pay», включая пополнение, потребуется значительное время.
• Если продолжить предоставление услуг в течение этого периода, они будут ограничены только «использованием (оплатой)», что является неполным решением.
• Клиенты все еще испытывают тревогу по поводу этой службы.

Недостаточное осознание важности интернет-безопасности в Seven & i Holdings и плохое взаимодействие внутри группы стали очевидными, что привело к необычно быстрому отзыву. Этот промах крупного ритейлера вызвал тревогу по поводу безналичных платежей, которые правительство активно продвигает.

Случай с Uniqlo

10 мая 2019 года было подтверждено, что на сайте онлайн-магазина Uniqlo произошел незаконный вход в систему третьими лицами, не являющимися владельцами аккаунтов.

С 23 апреля по 10 мая было зафиксировано незаконное вход в систему с использованием метода атаки по списку. Количество аккаунтов, в которые был осуществлен незаконный вход, составило 461 091, зарегистрированных на официальных онлайн-сайтах Uniqlo и GU. Потенциально просмотренная личная информация пользователей включала имя, адрес (почтовый индекс, город, улицу, номер дома и квартиры), номер телефона, мобильный номер, адрес электронной почты, пол, дату рождения, историю покупок, размеры, зарегистрированные в разделе “Мой размер”, а также часть информации о кредитной карте (имя владельца, срок действия, часть номера кредитной карты).

Был определен источник коммуникации, с которого производились попытки незаконного входа, и доступ был заблокирован. Кроме того, был усилен контроль за другими доступами. Для идентификаторов пользователей, чья личная информация могла быть просмотрена, 13 мая были деактивированы пароли, и были отправлены индивидуальные письма с просьбой о смене пароля. Также было сообщено о данном инциденте в полицию Токио.

Этот случай характеризуется тем, что была утрачена не только базовая личная информация, такая как имя, адрес, номер телефона, мобильный номер, адрес электронной почты, дата рождения, но и информация о приватности, такая как история покупок и размеры, зарегистрированные в разделе “Мой размер”. Это неприятный и тревожный случай.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Случай с администрацией префектуры Канагава

6 декабря 2019 года стало известно о том, что информация, включая личные данные, содержащиеся в административных документах, утекла в результате перепродажи жесткого диска (HDD), использовавшегося в администрации префектуры Канагава. Весной 2019 года компания Fujitsu Lease, которая заключила договор аренды серверов с префектурой Канагава, сняла HDD с арендованных серверов и поручила утилизацию рециклинговой компании. Один из сотрудников этой компании вынес часть HDD и перепродал их на Yahoo Auctions в состоянии, которое не было инициализировано. Мужчина, управляющий IT-компанией, купил 9 из них и обнаружил данные, которые, как он полагал, были официальными документами префектуры Канагава. Он предоставил эту информацию газете, которая подтвердила утечку информации у префектуры.

Согласно заявлению префектуры, сделанному утром 6-го числа, всего было вынесено 18 HDD, из которых 9 уже были возвращены, а остальные 9 были возвращены позже. Утекшие данные включали уведомления о налогах с указанием имен и названий компаний, уведомления после налоговых проверок с указанием названий корпораций, записи об оплате налога на автомобили с указанием имен и адресов, документы, представленные компаниями, записи о работе и списки сотрудников префектуры и другие данные, содержащие личную информацию. Поскольку каждый из вынесенных HDD имеет объем хранения 3TB, максимально возможная утечка данных могла составить 54TB.

В префектуре Канагава были допущены следующие начальные ошибки:

• Не было проведено достаточного обсуждения относительно шифрования на уровне оборудования для файлового сервера, где хранятся административные документы, и данные хранились в исходном виде.
• Хотя предполагалось, что после полного удаления данных с помощью инициализации перед возвратом оборудования в арендную компанию, последняя проведет процедуру удаления данных, префектура не получила подтверждающего сертификата об этом.
• Работник рециклинговой компании, о котором не знал ответственный сотрудник, забрал арендованное оборудование.

У Fujitsu Lease также были допущены начальные ошибки:

• Они полностью передали процесс утилизации (рециклинга) оборудования рециклинговой компании.
• Хотя в договоре аренды было указано, что они должны предоставить префектуре сертификат, подтверждающий полное удаление данных, они не поручили рециклинговой компании выдачу такого сертификата.

О рециклинговой компании говорить не приходится.

Мне кажется, что отсутствие чувства ответственности и кризиса в отношении безопасности, общее для всех трех организаций, привело к такому плачевному результату.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

В случае других несанкционированных доступов

Инциденты, вызванные несанкционированным доступом, которые приводят к большим убыткам и оказывают широкий эффект, увеличиваются из года в год. В 2019 году, согласно исследованию Токийского коммерческого исследовательского института (Japanese Tokyo Shoko Research), было зафиксировано рекордное количество таких инцидентов за 8 лет с момента начала исследования – 41 случай (32 компании). Это почти половина от 86 случаев утечки и потери информации в 2019 году, а количество утечек и потерь составило 8 902 078, что составляет 98,5% от общего числа (9 031 734) за 2019 год. В дополнение к вышеупомянутым примерам, в 2019 году было обнаружено множество случаев несанкционированного доступа, включая следующие примеры.

В случае компании по продаже автомобильных товаров

26 февраля в онлайн-магазине, управляемом акционерной компанией Hase-Pro, специализирующейся на продаже автомобильных товаров, произошел незаконный доступ за счет злоупотребления уязвимостью сайта. Была отображена поддельная страница оплаты, и информация о кредитной карте, введенная пользователем, была утечкой.

Случай с «StomatologyBook.com»

25 марта был зафиксирован незаконный доступ к веб-серверу «StomatologyBook.com», сайта, управляемого компанией Quintessence Publishing Co., Ltd., специализирующейся на стоматологической публикации. В результате произошла утечка личной информации пользователей сайта. Для клиентов, которые использовали оплату кредитной картой, была утекла информация о кредитной карте, включая код безопасности. Кроме того, произошла утечка личной информации пользователей других сайтов, таких как сайт по поиску работы в стоматологии и пользователей Японского международного стоматологического конгресса, в общей сложности было утекло до 23 000 записей личной информации.

Случай с «Галереей Нанацузвезд»

12 апреля произошел незаконный доступ к сайту по продаже связанных товаров круизного поезда «Нанацузвезд в Кюсю» компании Кюсю Пассажирская Железная Дорога. Была утрачена личная информация клиентов, включая данные кредитных карт. Возможно, что в 3086 случаях среди зарегистрированных пользователей кредитных карт также были включены коды безопасности. Было объявлено, что существует вероятность утечки информации и в отношении 5120 случаев, включая пользователей, которые не зарегистрировали информацию о карте, и других пользователей сайта.

В случае с сервисом для проведения опросов «Ан и Кейт»

23 мая произошел незаконный доступ к серверу сервиса для проведения опросов «Ан и Кейт», которым управляет компания Marketing Applications. Была осуществлена утечка персональных данных 770 074 зарегистрированных аккаунтов. Среди утекших данных были адреса электронной почты, пол, профессия, место работы, информация, связанная с банковскими счетами.

Случай с «Ямада Вебком・Ямада Молл»

29 мая произошел незаконный доступ к «Ямада Вебком・Ямада Молл», управляемому акционерным обществом Ямада Денки. Приложение для платежей было изменено, и в результате была утрачена информация о максимум 37 832 клиентах, зарегистрированных в течение этого периода.

В случае с картой Ион

13 июня произошел незаконный вход в систему карты Ион, принадлежащей компании Ион Кредит Сервис, с использованием атаки по списку паролей. Было подтверждено, что незаконный вход был возможен на 1917 аккаунтах, и из них на 708 аккаунтах действительно произошел незаконный вход. Было объявлено, что общий ущерб от незаконного использования составил около 22 миллионов иен. Предполагается, что злоумышленники использовали атаку по списку паролей на официальном сайте “Ион Сквер” для незаконного получения информации о пользовательских аккаунтах, затем изменили контактную информацию на другую с помощью функции изменения регистрационной информации в официальном приложении и использовали средства через функцию связи с платежами.

В случае с приложением “Vpass” от “Mitsui Sumitomo Card”

23 августа, компания “Mitsui Sumitomo Card” объявила о возможном несанкционированном доступе к максимум 16 756 записям ID клиентов в приложении для смартфонов “Vpass”, предназначенном для членов. Несанкционированный доступ был подтвержден в результате регулярного мониторинга, проводимого компанией. При исследовании причин выяснилось, что большая часть из примерно 5 миллионов попыток входа была сделана с использованием данных, которые не были зарегистрированы в данной службе, что указывает на атаку с использованием списка паролей.

В случае с “J-Coin Pay” от Мицухо Банка

4 сентября, Корпорация Мицухо Финансовая Группа (Мицухо Банк) объявила, что тестовая система, управляющая участниками сервиса “J-Coin Pay”, подверглась несанкционированному доступу, в результате чего была утрачена информация о 18 469 участниках J-Coin.

В случае с «10mois WEBSHOP»

19 сентября было объявлено о незаконном доступе к онлайн-магазину «10mois WEBSHOP», принадлежащему компании Фисел (Ficelle Co., Ltd.). В результате инцидента были утрачены данные 108,131 клиентов, включая персональную информацию, а также данные 11,913 кредитных карт, включая коды безопасности.

Случай с официальным веб-сайтом компании “Kyoto Ichinoden” (Киото Ичиноуден)

8 октября на официальном веб-сайте компании “Kyoto Ichinoden” (Киото Ичиноуден), известной своими продуктами, такими как западные киотские маринады, произошел несанкционированный доступ, и форма оплаты была изменена. Информация о кредитных картах, включая коды безопасности, в количестве 18 855 единиц, а также информация о членах и история отправок в количестве 72 738 единиц были утечкой данных.

Случай с «Покупками в Zojirushi»

5 декабря было объявлено, что к сайту «Покупки в Zojirushi», управляемому компанией Zojirushi Mahobin Co., Ltd., был осуществлен несанкционированный доступ, и возможно, было утрачено до 280 052 записей информации о клиентах. Предполагается, что причиной несанкционированного доступа стала уязвимость внутри сайта, и с 4 декабря компания приостановила публикацию на сайте для покупок.

Случай с электронной службой романов «Новелба»

25 декабря произошел несанкционированный доступ к электронной службе романов «Новелба», которую управляет корпорация «Бигли». В результате были утрачены персональные данные 33 715 зарегистрированных пользователей, включая их адреса электронной почты. Кроме того, существует вероятность утечки банковских данных 76 пользователей, зарегистрированных в программе вознаграждений, что может привести к вторичным убыткам.

Заключение

Адекватные меры по предотвращению утечки и потери информации становятся важной задачей для всех организаций и компаний, работающих с персональными данными. В частности, для малого бизнеса, у которого меньше финансовых и человеческих ресурсов по сравнению с публичными компаниями, утечка информации может нанести критический урон бизнесу. Необходимо обеспечить меры безопасности и создать систему управления информацией. С учетом активного использования больших данных, персональная информация становится все более важной. В то же время, усиление и утончение мер безопасности против несанкционированного доступа и строгий контроль информации становятся важными предпосылками управления рисками.