Тенденції витоку та втрати особистої інформації у 2019 році (2019 рік за Григоріанським календарем)

Згідно з дослідженням Токійського торгово-промислового дослідницького центру, у 2019 році 66 компаній, що входять до складу біржових компаній та їх дочірніх підприємств, оголосили про витоки та втрати персональних даних. Кількість інцидентів становила 86, а загальна кількість витоків персональних даних досягла 9 031 734 осіб. У 2019 році відбулися два великі інциденти з витоком більше мільйона персональних даних, що знову акцентувало увагу на важливості заходів щодо безпеки. Одним з них став випадок з платіжною службою “7pay (Севенпей)”, запровадженою великим роздрібним оператором Seven & I Holdings, яка була змушена припинити свою діяльність через незаконне використання.

У випадку з “Takufairu Bin”

22 січня 2019 року виявлено витік інформації в сервісі передачі файлів “Takufairu Bin”, який розробила дочірня компанія Осака Газ – OGIS Research Institute. Підозрілий файл було виявлено на сервері. Додаткове розслідування підтвердило наявність підозрілих журналів доступу, тому 23 січня сервіс було призупинено для запобігання подальшого поширення шкоди. 25 січня було підтверджено витік інформації.

Загальна кількість витоків складала 4 815 399 випадків (22 569 платних користувачів, 4 753 290 безкоштовних користувачів, 42 501 користувач, який відмовився від послуг), включаючи імена, адреси електронної пошти для входу, паролі, дати народження, стать, професію/галузь/посаду, назву префектури місця проживання. Ця кількість витоків є другою за розміром в історії, після витоку особистої інформації 35 040 000 осіб, здійсненого контрактним працівником компанії Benesse у 2014 році.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Після цього, OGIS Research Institute провела перевірку та посилення безпеки, а також розглянула можливість відновлення сервісу. Однак, через відсутність перспективи реконструкції системи, 14 січня 2020 року було оголошено про припинення сервісу з 31 березня 2020 року.

Якщо ви використовували адресу електронної пошти та пароль, зареєстровані в “Takufairu Bin”, для входу в інші веб-сервіси, існує ризик незаконного входу в ці веб-сервіси третіми особами, які отримали витіклу інформацію, або так званого “маскування” для доступу.

Випадок з компанією “Тойота Мобіліті”

21 березня 2019 року компанія “Тойота Мобіліті”, дочірня компанія “Тойота” зайнята у продажах, стала жертвою кібератаки. Було оголошено, що в результаті атаки на системну інфраструктуру, яка використовується вісьма пов’язаними продажними компаніями, могло бути викрадено до 3,1 мільйона записів особистої інформації з мережевого сервера. На щастя, було оголошено, що інформація про кредитні картки не була викрадена, тому ймовірність безпосереднього фінансового збитку може бути невеликою. Однак, оскільки це інформація про клієнтів, які купили автомобілі, вона може бути продана за високу ціну між компаніями, що займаються списками, і шкода може бути необмеженою.

Незважаючи на те, що компанія “Тойота Мобіліті” отримала японський “Маркер приватності” (P-mark), вона стала жертвою витоку особистих даних, що ставить під сумнів її майбутні заходи щодо безпеки. Крім того, цей випадок витоку особистих даних може свідчити про те, що попередні заходи безпеки були недостатніми. Можливо, потрібно реалізувати систему управління захистом особистих даних на більш високому рівні, ніж система безпеки, яка отримала “Маркер приватності” (P-mark).

Як було зазначено в випадку з “Бенессе”, якщо в майбутньому система управління захистом особистих даних буде визнана недостатньою, можливе анулювання “Маркера приватності” (P-mark). Якщо “Маркер приватності” (P-mark) буде анульовано, це може призвести до втрати довіри, що стане великою проблемою.

Випадок з «7pay»

Платіжний сервіс «7pay», впроваджений компанією Seven & i Holdings, виявив незаконне використання вже наступного дня після запуску сервісу, 2 липня 2019 року. Користувачі повідомили про транзакції, які вони не здійснювали. Після внутрішнього розслідування 3 липня було виявлено незаконне використання.

Негайно було призупинено поповнення з кредитних та дебетових карток, а з 4 липня було призупинено нову реєстрацію в сервісі. Того ж дня було прийнято рішення призупинити всі поповнення.

Загальна кількість жертв незаконного доступу становила 808 осіб, а загальна сума збитків була оцінена в 38 615 473 єн. Вважається, що незаконний доступ був здійснений за допомогою так званих “спискових атак”, коли ідентифікатори та паролі, які раніше витекли в Інтернет з інших компаній, вводяться автоматично. Цей метод було використано принаймні декілька десятків мільйонів разів, а кількість успішних входів перевищила 808 випадків незаконного використання. Причинами, через які не вдалося запобігти списковому взлому облікових записів, були недостатні заходи проти входу з кількох пристроїв, недостатній розгляд додаткової аутентифікації, такої як двофакторна аутентифікація, та недостатнє тестування оптимізації всієї системи.

1 серпня Seven & i Holdings оголосила на надзвичайній прес-конференції в Токіо, що сервіс «7pay» буде припинено о 24:00 30 вересня. Причинами припинення сервісу були наступні три фактори:

• Очікується, що для повного відновлення всіх послуг «7pay», включаючи поповнення, потрібно буде значний час.
• Якщо продовжувати сервіс в цей час, він буде неповним, обмежуючись тільки «використанням (оплатою)».
• Клієнти все ще відчувають невпевненість щодо цього сервісу.

Недоліки в питаннях інтернет-безпеки в Seven & i Holdings та погана координація в межах групи стали очевидними, що призвело до незвичайно швидкого відкликання. Цей провал великої торгової компанії викликав невпевненість щодо безготівкових платежів, які підтримує уряд.

Випадок з Uniqlo

10 травня 2019 року було підтверджено, що на сайті онлайн-магазину, який керує Uniqlo, сталося несанкціоноване входження в систему третіми особами, які не є власниками акаунтів.

Від 23 квітня до 10 травня було здійснено несанкціонований вхід до акаунтів за допомогою атаки типу “список”, кількість таких акаунтів в офіційному онлайн-магазині Uniqlo та офіційному онлайн-магазині GU становила 461 091. Особиста інформація користувачів, яка могла бути переглянута, включала ім’я, адресу (поштовий індекс, місто/район/село, номер будинку, номер квартири), номер телефону, номер мобільного телефону, адресу електронної пошти, стать, дату народження, історію покупок, ім’я та розмір, зареєстровані в розділі “Мій розмір”, а також частину інформації про кредитну карту (ім’я власника, термін дії, частина номера кредитної картки).

Було визначено джерело комунікації, з якого було здійснено несанкціонований вхід, та заблоковано доступ до нього, а також посилено контроль за іншими джерелами доступу. Щодо ідентифікаторів користувачів, особиста інформація яких могла бути переглянута, 13 травня було відключено паролі, а користувачам було надіслано індивідуальні повідомлення з проханням змінити пароль. Також було повідомлено про цей випадок в поліцію Токіо.

Цей випадок характеризується тим, що витікла не тільки основна особиста інформація, така як ім’я, адреса, номер телефону, номер мобільного телефону, адреса електронної пошти, дата народження, але й інформація про приватність, така як історія покупок, ім’я та розмір, зареєстровані в розділі “Мій розмір”. Це є неприємним та тривожним випадком.

Випадок з Канагавською префектурою

6 грудня 2019 року стало відомо, що в результаті перепродажу HDD (жорсткого диска), який використовувався в Канагавській префектурі, втекла інформація, включаючи особисті дані та адміністративні документи. Канагавська префектура та Fujitsu Lease, яка уклала договір про оренду серверів та іншого обладнання, вийняли HDD з серверів, які вони орендували навесні 2019 року, і доручили його утилізацію рециклінговій компанії. Однак, співробітник цієї компанії взяв частину HDD і перепродав їх на Yahoo Auctions без очищення. Чоловік, який керує IT-компанією, купив 9 з них і перевірив вміст, де він виявив дані, які, як він вважав, були офіційними документами Канагавської префектури, і надав цю інформацію газеті. Газета підтвердила цю інформацію з префектурою, і таким чином було виявлено витік інформації.

Згідно з оголошенням префектури вранці 6 грудня, було викрадено 18 HDD, з яких 9 були вже вилучені, а решта 9 були вилучені пізніше. Втекла інформація включала дані, що містили особисту інформацію, таку як повідомлення про сплату податків з іменами осіб та компаній, повідомлення після податкового обстеження з іменами корпорацій, записи про сплату податку на автомобілі з іменами осіб та адресами, документи, подані компаніями, записи про роботу працівників префектури та списки імен та інше. Оскільки кожен викрадений HDD має місткість зберігання 3TB, можливий витік даних може досягати максимум 54TB для 18 пристроїв.

У Канагавській префектурі були такі початкові помилки, як:

• Не проводили достатнього обговорення щодо шифрування на рівні апаратного забезпечення для файлового сервера, де зберігаються адміністративні документи, і зберігали дані в первинному вигляді
• Незважаючи на те, що вони планували повернути обладнання, на якому зберігається важлива інформація, компанії, що орендує обладнання, після видалення всіх даних за допомогою ініціалізації, вони не отримали сертифікати про завершення та інше
• Рециклінгова компанія, про яку не знали навіть відповідальні особи, забрала орендоване обладнання

І у Fujitsu Lease були такі початкові помилки, як:

• Вони повністю віддали утилізацію (рециклінг) обладнання рециклінговій компанії
• Хоча в договорі про оренду було вказано, що вони повинні надати префектурі сертифікат, що підтверджує, що дані були повністю видалені, вони не звернулися до рециклінгової компанії з проханням видати сертифікат

Щодо рециклінгової компанії, немає потреби обговорювати це.

Відсутність почуття кризи щодо безпеки та невідповідальне відкидання відповідальності, що є загальними для трьох організацій, які брали участь, призвели до такого плачевного результату.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Випадки інших незаконних доступів

Щорічно зростає кількість інцидентів, спричинених незаконним доступом, які призводять до великих збитків та мають широкий радіус впливу. У 2019 році, за даними Токійського дослідницького центру торгівлі та промисловості, було зафіксовано рекордну кількість таких випадків за останні 8 років – 41 випадок (32 компанії). Це майже половина від загальної кількості випадків витоку та втрати інформації у 2019 році – 86 випадків. Кількість випадків витоку та втрати інформації становила 8 902 078, що складає 98,5% від загальної кількості випадків у 2019 році (9 031 734). Крім вищезазначених випадків, у 2019 році було виявлено багато інших випадків незаконного доступу, серед яких:

У випадку з компанією, що продає автомобільні товари

26 лютого в онлайн-магазині, який керує акціонерною компанією Хасе-Про, що продає автомобільні товари, сталася незаконна діяльність через вразливості сайту. Було відображено фальшиву сторінку оплати, і в результаті були викрадені дані кредитних карт користувачів.

Випадок з “StomatologyBook.com”

25 березня сталася незаконна активність на веб-сервері “StomatologyBook.com”, який керується компанією Quintessence Publishing Co., Ltd., спеціалізованою на виданні стоматологічної літератури. В результаті особиста інформація користувачів сайту була викрадена. Інформація про кредитні картки, включаючи коди безпеки, була втрачена для клієнтів, які використовували оплату кредитною карткою. Крім того, була втрачена особиста інформація користувачів інших сайтів, таких як стоматологічні сайти з вакансіями та Японська міжнародна стоматологічна конференція, загалом до 23 000 записів особистої інформації.

Випадок з «Нанацузірка Галерея»

12 квітня сталася незаконна активність на сайті з продажу товарів, пов’язаних з круїзним потягом «Нанацузірка в Кюшу» компанії Кюшу Пасажирська Залізниця. В результаті були викрадені персональні дані клієнтів, включаючи інформацію про кредитні картки. Існує ймовірність, що серед 3086 зареєстрованих користувачів, які зберігали інформацію про свої кредитні картки, також були викрадені коди безпеки. Крім того, було оголошено про можливість витоку інформації щодо 5120 користувачів, які не зберігали дані про свої кредитні картки, а також інших користувачів сайту.

Випадок з сервісом для опитувань “Ан та Кейт”

23 травня сталася незаконна активність, пов’язана з використанням вразливостей сервера, на сервісі для опитувань “Ан та Кейт”, який керує корпорація “Маркетингові Аплікації”. Було викрадено особисту інформацію з 770 740 зареєстрованих облікових записів. Інформація включала в себе електронні адреси, стать, професію, місце роботи, а також інформацію, пов’язану з банківськими рахунками.

Випадок з «Ямада Вебком・Ямада Мол»

29 травня сталася незаконна активність на сайті «Ямада Вебком・Ямада Мол», який оперує Корпорація Ямада Електроніка. Було змінено платіжний додаток, і в результаті було викрадено максимум 37 832 записи клієнтської інформації, зареєстрованої протягом цього періоду.

У випадку з карткою Іон

13 червня сталася незаконна авторизація за допомогою атаки списком паролів на картку Іон від Іон Кредит Сервіс Корпорації (Japanese: イオンクレジットサービス株式会社). Було підтверджено, що незаконна авторизація могла бути здійснена на 1917 облікових записах, з яких 708 вже були компрометовані. Загальна сума збитків від незаконного використання склала приблизно 22 мільйони єн. Зловмисники використали атаку списком паролів на офіційному сайті “Іон Сквер” (Japanese: イオンスクエア), незаконно отримали інформацію про облікові записи користувачів, змінили контактну інформацію за допомогою функції зміни реєстраційних даних в офіційному додатку, а потім використали кошти через функцію платежів.

Випадок з “Vpass App” від Sumitomo Mitsui Card

23 серпня, компанія Sumitomo Mitsui Card оголосила, що можливо було здійснено несанкціонований вхід до максимум 16 756 ID користувачів у їхньому додатку для смартфонів “Vpass App”. Несанкціонований доступ було виявлено під час регулярного моніторингу, який проводить компанія. Після дослідження причини, виявилося, що більшість з приблизно 5 мільйонів спроб входу були здійснені з облікових записів, які не були зареєстровані в цьому сервісі, що вказує на атаку типу “список паролів”.

У випадку з “J-Coin Pay” від Mizuho Bank

4 вересня, Mizuho Financial Group (Mizuho Bank) оголосила, що тестова система, яка відповідає за управління партнерськими магазинами “J-Coin Pay”, була піддана несанкціонованому доступу, в результаті чого було викрадено інформацію про 18 469 партнерських магазинів J-Coin.

У випадку з «10mois WEBSHOP»

19 вересня було оголошено про незаконний доступ до онлайн-магазину «10mois WEBSHOP», що належить компанії Фісел (Ficelle Co., Ltd.). В результаті було викрадено 108,131 записи особистої інформації клієнтів та 11,913 записів інформації про кредитні картки. Інформація про кредитні картки включала в себе також і коди безпеки.

Випадок з офіційним веб-сайтом компанії “Kyoto Ichinoden”

8 жовтня на офіційному веб-сайті компанії “Kyoto Ichinoden”, відомої своїм західним кіотським маринадом, було виявлено несанкціонований доступ, а форма оплати була змінена. В результаті було викрадено 18 855 записів інформації про кредитні картки, включаючи коди безпеки, а також 72 738 записів інформації про членів та історію відправлень.

У випадку з “Zojirushi Shopping”

5 грудня було оголошено, що до “Zojirushi Shopping”, який управляється корпорацією Zojirushi Mahobin, було здійснено незаконний доступ, і існує можливість витоку до 280 052 записів інформації про клієнтів. Причиною незаконного доступу, як вважається, є вразливості на сайті, і компанія призупинила публікацію на сайті для покупок з 4 грудня.

Випадок з електронною службою романів “Новелба”

25 грудня сталася незаконна активність на електронній службі романів “Новелба”, яку керує корпорація “Біглі”. В результаті було викрадено особисту інформацію 33 715 зареєстрованих користувачів, включаючи їхні електронні адреси. Крім того, існує ймовірність, що було викрадено інформацію про банківські рахунки 76 користувачів, які були зареєстровані в програмі винагород. Це створює потенційну загрозу подальшої шкоди.

Підсумки

Адекватні заходи для запобігання витоку та втрати інформації стають важливим завданням для всіх організацій та компаній, що працюють з персональними даними. Особливо це стосується малого бізнесу, де фінансові та людські ресурси обмежені порівняно з публічними компаніями, а виток інформації може завдати критичного удару по бізнесу. Необхідно зосередитися на заходах безпеки та створенні системи управління інформацією. В контексті активного використання великих даних, персональна інформація набуває все більшої важливості. Водночас, високий рівень та хитромудрість незаконного доступу вимагають строгих заходів безпеки та управління інформацією, які стають важливою передумовою ризик-менеджменту.