Trender för incidenter med läckage och förlust av personuppgifter under 2019
Enligt Tokyo Shoko Research offentliggjorde 66 företag och deras dotterbolag personuppgiftsläckor och förlustincidenter på börsen 2019. Antalet incidenter var 86 och de läckta personuppgifterna uppgick till 9 031 734 individer. 2019 var ett år då två stora incidenter inträffade där över en miljon personuppgifter läcktes. Bland dessa var det framstående detaljhandelsföretaget Seven & I Holdings betalningstjänst ‘7pay’, som tvingades upphöra med sin tjänst på grund av obehörig användning, vilket återigen belyste vikten av säkerhetsåtgärder.
Fallet med “Takuhai File Bin”
Den 22 januari 2019 upptäcktes en misstänkt fil i servern för filöverföringstjänsten “Takuhai File Bin”, som drivs av OGIS Research Institute, ett helägt dotterbolag till Osaka Gas. Detta ledde till att en informationsläcka upptäcktes. Ytterligare undersökningar bekräftade förekomsten av misstänkta åtkomstloggar, och för att förhindra ytterligare skada stoppades tjänsten den 23 januari. Den första rapporten publicerades och den 25 januari bekräftades informationsläckan.
Antalet läckta poster var 4 815 399 (betalda medlemmar: 22 569, gratismedlemmar: 4 753 290, tidigare medlemmar: 42 501), och den läckta informationen inkluderade namn, e-postadresser för inloggning, lösenord, födelsedatum, kön, yrke/bransch/jobbtitel och bostadsområdets prefektur. Denna läcka är den näst största i historien, efter den olagliga insamlingen av personuppgifter från 35,04 miljoner kunder av en underleverantör till Benesse i 2014.
Efter detta händelse, övervägde OGIS Research Institute att förbättra säkerheten och återställa tjänsten, men kunde inte se en lösning för att återuppbygga systemet. Den 14 januari 2020 meddelades det att tjänsten skulle upphöra den 31 mars 2020.
Om du använder samma e-postadress och lösenord för att logga in på “Takuhai File Bin” och andra webbtjänster, finns det en risk att tredje parter som har fått tag på den läckta informationen kan logga in olämpligt på dessa webbtjänster, en så kallad “identitetsstöld”.
Fallet med Toyota Mobility
Toyota Mobility, en försäljningsdotterbolag till Toyota Motor, utsattes för en cyberattack den 21 mars 2019. Åtta försäljningsföretag med gemensam systeminfrastruktur var målet, och det meddelades att upp till 3,1 miljoner personuppgifter kan ha läckt ut från nätverksservern. Lyckligtvis har det meddelats att kreditkortsinformation inte har läckt ut, så risken för direkta ekonomiska problem kan vara låg. Men eftersom det handlar om information om kunder som har köpt bilar, kan det vara möjligt att den handlas till höga priser mellan registeroperatörer, och skadan kan inte nödvändigtvis begränsas.
Trots att Toyota Mobility har erhållit Privacy Mark (P-märket), har de ställts inför viktiga val för framtida säkerhetsåtgärder på grund av denna personuppgiftsläcka. Dessutom kan det sägas att denna personuppgiftsläcka bevisar att tidigare säkerhetsåtgärder inte kunde förhindra det. Det kan vara nödvändigt att uppnå en mer avancerad nivå av personuppgiftsskydd än säkerhetssystemet som har erhållit Privacy Mark (P-märket).
Precis som i fallet med Benesse, om det bedöms att det framtida systemet för hantering av personuppgiftsskydd inte är tillräckligt, kan Privacy Mark (P-märket) bli ogiltigt. Om Privacy Mark (P-märket) blir ogiltigt, finns det en risk att förtroendet går förlorat, vilket skulle vara ett stort problem.
Fallet med “7pay”
Betalningstjänsten “7pay”, introducerad av Seven & i Holdings, upptäckte obehörig användning efter en intern undersökning den 3 juli 2019, dagen efter tjänstens lansering. Detta efter att användare rapporterat transaktioner de inte kände igen den 2 juli.
De stoppade omedelbart alla laddningar från kredit- och betalkort, och från den 4 juli stoppades även alla nya registreringar av tjänsten. Samma dag beslutades det att alla laddningar skulle stoppas tillfälligt.
Antalet offer för obehörig åtkomst uppgick till 808 personer, med en total förlust på 38 615 473 yen. Det misstänkta sättet för obehörig åtkomst var en listbaserad attack, en metod där ID och lösenord som tidigare läckt ut på nätet från andra företag matas in mekaniskt. Detta försöks minst flera tiotals miljoner gånger, och antalet framgångsrika inloggningar överstiger de 808 fallen av obehörig användning. Orsaker till att de inte kunde förhindra listbaserade kontohackningar inkluderar otillräckliga åtgärder mot inloggning från flera enheter, otillräcklig övervägning av ytterligare autentisering som tvåfaktorsautentisering, och att de inte kunde verifiera hela systemets optimering tillräckligt.
Den 1 augusti höll Seven & i Holdings en presskonferens i Tokyo och meddelade att “7pay” skulle upphöra kl. 24:00 den 30 september. De tre huvudorsakerna till att tjänsten upphörde var följande:
- Det förväntades ta en betydande tid att slutföra en grundlig respons för att återuppta alla tjänster, inklusive laddningar, för 7pay.
- Om tjänsten skulle fortsätta under denna tid, skulle den vara ofullständig, med endast “användning (betalning)”.
- Kunderna kände fortfarande osäkerhet kring tjänsten.
Seven & i Holdings bristande medvetenhet om nätverkssäkerhet och dålig samordning inom gruppen blev uppenbar, vilket tvingade dem att dra sig ur på en ovanligt kort tid. Detta misslyckande av en stor detaljhandelsaktör har lett till ökad oro över kontantlösa betalningar, som regeringen främjar.
Fallet med Uniqlo
Den 10 maj 2019 bekräftades det att obehöriga inloggningar hade skett på Uniqlos onlinebutik, som drivs av någon annan än användaren själv.
Mellan 23 april och 10 maj, utfördes obehöriga inloggningar på konton genom listbaserade attacker. Antalet konton som loggades in olämpligt på Uniqlos officiella onlinebutik och GU:s officiella onlinebutik uppgick till 461 091. De personuppgifter som potentiellt kunde ha visats inkluderade namn, adress (postnummer, stad, gata, rumsnummer), telefonnummer, mobilnummer, e-postadress, kön, födelsedatum, köphistorik, namn och storlek registrerade i “Mina storlekar”, samt delar av kreditkortsinformation (kortinnehavare, utgångsdatum, delar av kreditkortsnummer).
De obehöriga inloggningarna spårades till deras ursprung och blockerades, och övervakningen av andra åtkomster förstärktes. För användar-ID:n där personuppgifter potentiellt kunde ha visats, inaktiverades lösenorden den 13 maj och en begäran om att återställa lösenordet skickades individuellt via e-post. Dessutom rapporterades denna händelse till Tokyo Metropolitan Police Department.
Detta är ett obehagligt och oroande fall där inte bara grundläggande personuppgifter som namn, adress, telefonnummer, mobilnummer, e-postadress och födelsedatum läckte ut, utan även privat information som köphistorik och namn och storlekar registrerade i “Mina storlekar”.
https://monolith.law/reputation/personal-information-and-privacy-violation[ja]
Fallet med Kanagawa Prefekturkontor
Det uppdagades den 6 december 2019 att information, inklusive personuppgifter, hade läckt ut genom återförsäljning av HDD (hårddiskar) som användes på Kanagawa Prefekturkontor. På våren 2019 tog Fujitsu Lease, som har ett leasingavtal med Kanagawa Prefektur för servrar och liknande, bort HDD från de servrar de leasade och överlämnade dem till ett återvinningsföretag för bortskaffande. En anställd på företaget tog med sig en del av HDD och återförsålde dem på Yahoo Auctions utan att ha raderat dem först. En man som driver ett IT-företag köpte nio av dessa och upptäckte data som tycktes vara officiella dokument från Kanagawa Prefektur när han kontrollerade innehållet. Han informerade en tidning, som sedan bekräftade med prefekturen att informationen hade läckt ut.
Enligt en tillkännagivelse från prefekturen på morgonen den 6:e, var det totalt 18 HDD som hade tagits, varav nio redan hade återvunnits och de resterande nio återvanns senare. Den läckta informationen inkluderade skattebesked med personnamn och företagsnamn, meddelanden efter skatteundersökningar med företagsnamn, skatteregister för fordonskatt med personnamn och adresser, företags inlämnade dokument, prefekturpersonalens arbetsregister och listor, och andra data som innehåller personuppgifter. Eftersom varje HDD har en lagringskapacitet på 3TB, kan upp till 54TB data ha läckt ut från de 18 enheterna.
Kanagawa Prefektur hade gjort följande grundläggande misstag:
- De hade inte noggrant övervägt hårdvarukryptering för filservern där administrativa dokument och liknande lagras, och hade konfigurerat den för att lagra rådata.
- Trots att de hade avtalat att alla data skulle raderas genom initialisering innan utrustningen returnerades till leasingföretaget, hade de inte mottagit något certifikat för att bekräfta att detta hade gjorts.
- De var inte medvetna om att ett återvinningsföretag som de inte kände till hade tagit hand om leasingutrustningen.
Fujitsu Lease hade också gjort följande grundläggande misstag:
- De hade helt överlämnat ansvaret för utrustningens bortskaffande (återvinning) till återvinningsföretaget.
- Trots att leasingavtalet krävde att de skulle lämna in ett certifikat till prefekturen som bevisade att all data hade raderats, hade de inte bett återvinningsföretaget att utfärda ett sådant certifikat.
Det behöver knappast sägas att återvinningsföretaget också bär en del av skulden.
Det verkar som att en brist på medvetenhet om säkerhet och en ansvarslös attityd till att överlämna ansvar, gemensamt för de tre inblandade organisationerna, ledde till detta olyckliga resultat.
https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
Andra fall av obehörig åtkomst
Incidenter orsakade av obehörig åtkomst, som har stor skada och påverkar ett brett område, ökar år för år. Under 2019 rapporterades det att det var det högsta antalet incidenter på 41 (32 företag) under de 8 åren sedan Tokyo Shōkō Research började sin undersökning. Detta utgör nästan hälften av de 86 incidenterna med informationsläckor och förluster under 2019, och antalet läckor och förluster var 8 902 078, vilket utgör 98,5% av det totala antalet (9 031 734) under 2019. Utöver de exempel som nämnts ovan, blev många fall av obehörig åtkomst kända under 2019, inklusive följande exempel.
Fallet med ett företag som säljer biltillbehör
Den 26 februari inträffade en obehörig åtkomst till den onlinebutik som drivs av Hase-Pro Co., Ltd., ett företag som säljer biltillbehör, genom att utnyttja webbplatsens sårbarheter. En falsk betalningsskärm visades, och kreditkortsinformation som användarna angav läckte ut.
Fallet med “Tandläkarbok.com”
Den 25 mars inträffade en obehörig åtkomst till webbservern för “Tandläkarbok.com”, som drivs av Quintessence Publishing Co., Ltd., ett förlag specialiserat på tandvård. Detta ledde till att personuppgifter för användare av webbplatsen läckte ut. För kunder som använde kreditkortsbetalning läckte även kreditkortsinformation, inklusive säkerhetskoder, ut. Dessutom inkluderade läckan personuppgifter för användare av andra tjänster, såsom tandläkarjobbwebbplatser och den japanska internationella tandläkarkonferensen, med upp till 23 000 personuppgifter som läckte ut.
Fallet med “NanatsuboshiGallery”
Den 12 april inträffade en obehörig åtkomst på “NanatsuboshiGallery”, en webbplats för försäljning av relaterade produkter till Kyushu Passenger Railway Company’s kryssningståg “Nanatsuboshi in Kyushu”, vilket resulterade i att personlig information, inklusive kundens kreditkortsinformation, läckte ut. Det finns en möjlighet att säkerhetskoden också ingår i de 3086 medlemmarna som har registrerat sin kreditkortsinformation, och det har meddelats att det finns en möjlighet att information kan ha läckt ut även för de 5120 medlemmarna som inte har registrerat kortinformation och andra användare som har använt webbplatsen.
Fallet med enkätmonitoringstjänsten “Ann och Kate”
Den 23 maj inträffade en obehörig åtkomst genom att utnyttja serverns sårbarheter på enkätmonitoringstjänsten “Ann och Kate”, som drivs av Marketing Applications Inc. Personlig information från 770 740 registrerade konton läckte ut. Det rapporteras att informationen inkluderade e-postadresser, kön, yrke, arbetsplats och bankkontorelaterad information.
Fallet med “Yamada Webcom-Yamada Mall”
Den 29 maj inträffade en obehörig åtkomst på “Yamada Webcom-Yamada Mall”, som drivs av Yamada Denki Co., Ltd. Betalningsapplikationen ändrades och upp till 37 832 kunduppgifter som registrerades under perioden läckte ut.
Fallet med AEON-kortet
Den 13 juni inträffade en obehörig inloggning på AEON Credit Service Co., Ltd:s AEON-kort på grund av ett lösenordslista-angrepp. Det bekräftades att obehörig inloggning var möjlig på 1917 konton, och av dessa hade obehörig inloggning inträffat på 708 konton. Det rapporterades att skadorna från obehörig användning uppgick till totalt cirka 22 miljoner yen. Angriparen misstänks ha riktat ett lösenordslista-angrepp mot den officiella webbplatsen “AEON Square”, olagligt erhållit användarkontoinformation, ändrat kontaktinformationen till en annan genom att använda funktionen för att ändra registreringsinformationen på den officiella appen, och sedan utnyttjat pengarna genom betalningskopplingsfunktionen.
Fallet med Mitsui Sumitomo-kortets “Vpass-app”
Den 23 augusti meddelade Mitsui Sumitomo Card Co., Ltd. att det fanns en möjlighet att upp till 16 756 kund-ID-informationer hade blivit obehörigt intrångna i deras medlems-smartphone-app “Vpass-app”. Företaget bekräftade obehörig åtkomst genom sin regelbundna övervakningsundersökning och efter att ha undersökt orsaken, ansågs det vara en lösenordslista-typ attack eftersom majoriteten av de cirka 5 miljoner inloggningsförsöken inte var registrerade på tjänsten.
Fallet med Mizuho Bank “J-Coin Pay”
Den 4 september meddelade Mizuho Financial Group (Mizuho Bank), att deras testsystem för hantering av “J-Coin Pay”-affiliates hade utsatts för obehörig åtkomst. Detta resulterade i att information om 18 469 J-Coin-affiliates läckte ut.
Fallet med “10mois WEBSHOP”
Den 19 september meddelade det japanska företaget Ficelle Ltd att deras onlinebutik “10mois WEBSHOP” hade utsatts för en obehörig åtkomst. Det rapporterades att 108,131 kundpersonuppgifter och 11,913 kreditkortsinformation hade läckt ut. Kreditkortsinformationen inkluderade även säkerhetskoder.
Fallet med den officiella webbplatsen för Kyoto Ichinoden
Den 8 oktober inträffade en obehörig åtkomst till den officiella webbplatsen för Kyoto Ichinoden, ett företag känt för sin Nishinomiya-pickles, och betalningsformuläret ändrades. Kreditkortsinformation, inklusive säkerhetskoder, för 18 855 fall, samt medlemsinformation och leveranshistorik för 72 738 fall, läckte ut.
Fallet med “Shopping med Zojirushi”
Den 5 december meddelades det att det hade skett en obehörig åtkomst till “Shopping med Zojirushi”, som drivs av Zojirushi Mahobin Co., Ltd., och det finns en möjlighet att upp till 280 052 kunduppgifter kan ha läckt ut. Orsaken till den obehöriga åtkomsten tros vara en sårbarhet inom webbplatsen, och företaget har stoppat publiceringen av shoppingwebbplatsen sedan den 4 december.
Fallet med e-boktjänsten “Novelba”
Den 25 december inträffade en obehörig åtkomst till e-boktjänsten “Novelba”, som drivs av B Gree Co., Ltd., vilket resulterade i att personlig information, inklusive e-postadresser för 33 715 registrerade användare, läckte ut. Dessutom finns det en möjlighet att bankkontoinformation också har läckt för 76 användare som var registrerade i belöningsprogrammet, vilket innebär en risk för sekundär skada.
Sammanfattning
Att vidta lämpliga åtgärder för att förhindra informationsläckage och förlust är en viktig fråga för alla organisationer och företag som hanterar personuppgifter. Särskilt för småföretag, som har mindre finansiella och mänskliga resurser jämfört med börsnoterade företag, kan ett läckage orsaka allvarlig skada på verksamheten. Det är nödvändigt att vidta säkerhetsåtgärder och etablera ett system för informationshantering. Med bakgrund av den ökade användningen av stora data, blir personuppgifter allt viktigare. Samtidigt blir säkerhetsåtgärder mot sofistikerade och illasinnade intrång samt strikt informationshantering en viktig förutsättning för riskhantering.