Xu hướng vụ việc rò rỉ và mất mát thông tin cá nhân trong năm 2019 (năm 2019 theo lịch Gregory)

Theo Tokyo Shoko Research, vào năm 2019 (năm Heisei 31), có 66 công ty niêm yết và các công ty con của họ đã công bố về các sự cố rò rỉ hoặc mất thông tin cá nhân, với tổng số 86 sự cố, và số thông tin cá nhân bị rò rỉ đã đạt đến 9.031.734 người. Trong năm 2019, đã xảy ra 2 sự cố lớn khi hơn 1 triệu thông tin cá nhân bị rò rỉ, trong đó dịch vụ thanh toán “7pay” mà tập đoàn bán lẻ lớn Seven & I Holdings đã triển khai, đã bị buộc phải ngừng dịch vụ do sử dụng trái phép, làm nổi bật lại tầm quan trọng của các biện pháp bảo mật trong suốt năm.

Trường hợp của dịch vụ “Takufile Bin”

Ngày 22 tháng 1 năm 2019, tại dịch vụ chuyển tệp “Takufile Bin” do công ty nghiên cứu OGIS, một công ty con 100% của Osaka Gas, phát triển, đã phát hiện ra tệp đáng ngờ trong máy chủ, từ đó tiết lộ thông tin rò rỉ. Sau khi điều tra thêm, họ cũng xác nhận được nhật ký truy cập đáng ngờ và đã ngừng dịch vụ vào ngày 23 để ngăn chặn thiệt hại, công bố báo cáo đầu tiên và xác nhận rò rỉ thông tin vào ngày 25.

Số lượng thông tin rò rỉ là 4.815.399 (thành viên trả phí: 22.569; thành viên miễn phí: 4.753.329; thành viên đã rút: 42.501), thông tin rò rỉ bao gồm tên, địa chỉ email đăng nhập, mật khẩu đăng nhập, ngày tháng năm sinh, giới tính, nghề nghiệp / ngành nghề / chức vụ, tên tỉnh nơi cư trú. Số lượng thông tin rò rỉ này là kỷ lục thứ hai trong lịch sử, chỉ sau 35,04 triệu thông tin cá nhân bị nhân viên hợp đồng của Benesse lấy trái phép vào năm 2014.

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

Sau đó, OGIS Research đã xem xét việc khôi phục dịch vụ trong khi kiểm tra và tăng cường bảo mật, nhưng không thể dự đoán được việc tái cấu trúc hệ thống, và đã công bố vào ngày 14 tháng 1 năm 2020 rằng dịch vụ sẽ kết thúc vào ngày 31 tháng 3 năm 2020.

Nếu bạn sử dụng dịch vụ web khác với địa chỉ email và mật khẩu đăng nhập đã đăng ký với “Takufile Bin”, và ID người dùng (địa chỉ email) và mật khẩu đăng nhập giống nhau, có nguy cơ bị người khác truy cập trái phép vào dịch vụ web đó bằng cách giả mạo, sau khi họ lấy được thông tin rò rỉ.

Trường hợp của Công ty Toyota Mobility

Công ty Toyota Mobility, một công ty con bán hàng của Toyota Motor, đã bị tấn công mạng vào ngày 21 tháng 3 năm 2019 (năm Heisei 31), và đã thông báo rằng có khả năng lên đến 3,1 triệu mục thông tin cá nhân đã bị rò rỉ từ máy chủ mạng của tổng cộng 8 công ty bán hàng liên quan có cơ sở hạ tầng hệ thống chung. May mắn thay, đã được thông báo rằng thông tin thẻ tín dụng không bị rò rỉ, vì vậy khả năng phát triển thành rắc rối về tiền tệ có thể ít. Tuy nhiên, đây là thông tin của khách hàng đã mua xe, vì vậy có thể được giao dịch với giá cao giữa các nhà cung cấp danh sách, và không thể nói chắc chắn rằng không có thiệt hại.

Mặc dù Công ty Toyota Mobility đã nhận được Dấu hiệu Bảo mật Thông tin cá nhân (P Mark), nhưng do đã phát triển thành vấn đề rò rỉ thông tin cá nhân như vậy, họ đang đối mặt với lựa chọn quan trọng trong các biện pháp bảo mật trong tương lai. Ngoài ra, việc rò rỉ thông tin cá nhân trong vụ việc này cũng có thể chứng minh rằng không thể ngăn chặn bằng các biện pháp bảo mật trước đây. Có lẽ cần phải thực hiện hệ thống quản lý bảo vệ thông tin cá nhân ở mức độ cao hơn so với hệ thống bảo mật đã nhận được Dấu hiệu Bảo mật Thông tin cá nhân (P Mark).

Như vậy, như trong trường hợp của Benesse, nếu hệ thống quản lý bảo vệ thông tin cá nhân trong tương lai được đánh giá là không đủ, có thể mất Dấu hiệu Bảo mật Thông tin cá nhân (P Mark). Nếu Dấu hiệu Bảo mật Thông tin cá nhân (P Mark) bị mất, có nguy cơ mất niềm tin, điều này sẽ trở thành một vấn đề lớn.

Trường hợp của “7pay”

Dịch vụ thanh toán “7pay” do Seven & I Holdings giới thiệu đã phát hiện ra việc sử dụng trái phép sau khi tiến hành điều tra nội bộ vào ngày 3 tháng 7 năm 2019 (năm 1 của Reiwa), sau khi nhận được yêu cầu từ người sử dụng rằng “có giao dịch mà họ không nhớ” vào ngày hôm sau khi dịch vụ được giới thiệu, ngày 2 tháng 7 năm 2019.

Ngay lập tức, họ đã tạm thời ngừng nạp tiền từ thẻ tín dụng và thẻ ghi nợ, và từ ngày 4 tháng 7, việc đăng ký mới cho dịch vụ cũng đã bị tạm thời ngừng, và vào cùng ngày, tất cả việc nạp tiền đã bị tạm thời ngừng.

Số người bị thiệt hại do truy cập trái phép là 808 người, với tổng số tiền thiệt hại được công bố là 38,615,473 yên, và phương pháp truy cập trái phép có khả năng cao là tấn công dạng danh sách. Tấn công dạng danh sách là phương pháp nhập tự động ID và mật khẩu đã rò rỉ trên mạng từ các công ty khác trong quá khứ, và ít nhất hàng chục triệu lần đã được thử, và số lần đăng nhập thành công vượt quá số 808 trường hợp bị thiệt hại do sử dụng trái phép. Nguyên nhân không thể ngăn chặn việc hack tài khoản dạng danh sách bao gồm việc không đủ xem xét các biện pháp đối với việc đăng nhập từ nhiều thiết bị, xem xét xác thực bổ sung như xác thực hai bước, và không thể kiểm tra đủ việc tối ưu hóa toàn bộ hệ thống.

Vào ngày 1 tháng 8, Seven & I Holdings đã tổ chức một cuộc họp khẩn cấp tại Tokyo và thông báo rằng “7pay” sẽ kết thúc vào lúc 24 giờ ngày 30 tháng 9. Có ba lý do được đưa ra cho việc dừng dịch vụ:

• Đối với 7pay, dự kiến sẽ cần một khoảng thời gian tương ứng để hoàn thành các biện pháp cơ bản cần thiết để khởi động lại tất cả các dịch vụ, bao gồm việc nạp tiền.
• Nếu tiếp tục dịch vụ trong thời gian này, sẽ không thể tránh khỏi việc chỉ “sử dụng (thanh toán)” một cách không hoàn chỉnh.
• Khách hàng vẫn còn cảm thấy bất an về dịch vụ này.

Sự thiếu ý thức về bảo mật mạng của Seven & I Holdings và sự kém cỏi trong việc hợp tác trong nhóm đã được tiết lộ lần lượt, dẫn đến việc rút lui trong một thời gian ngắn không bình thường, và sự thất bại của một công ty phân phối lớn đã gây ra sự bất an về việc thanh toán không dùng tiền mặt mà chính phủ đang cổ vũ.

Trường hợp của Uniqlo

Vào ngày 10 tháng 5 năm 2019 (năm 31 của thời kỳ Heisei), đã xác nhận được việc đăng nhập trái phép bởi người không phải là người dùng trên trang web cửa hàng trực tuyến do Uniqlo quản lý.

Từ ngày 23 tháng 4 đến ngày 10 tháng 5, số lượng tài khoản bị đăng nhập trái phép bằng phương pháp tấn công theo danh sách là 461.091 tài khoản đã đăng ký tại cửa hàng trực tuyến chính thức của Uniqlo và GU. Thông tin cá nhân của người dùng có thể đã bị xem bao gồm tên, địa chỉ (mã bưu điện, thành phố/quận/huyện/thị trấn, số nhà, số phòng), số điện thoại, số điện thoại di động, địa chỉ email, giới tính, ngày tháng năm sinh, lịch sử mua hàng, tên và kích cỡ đã đăng ký trong “Kích cỡ của tôi”, và một phần thông tin thẻ tín dụng (tên chủ thẻ, thời hạn hiệu lực, một phần số thẻ tín dụng).

Chúng tôi đã xác định nguồn gốc của các cuộc gọi trái phép và chặn truy cập, tăng cường giám sát các truy cập khác, nhưng đối với ID người dùng có khả năng đã bị xem thông tin cá nhân, chúng tôi đã vô hiệu hóa mật khẩu vào ngày 13 tháng 5 và liên hệ riêng qua email để yêu cầu đặt lại mật khẩu, và đã báo cáo vụ việc này cho Cảnh sát Tokyo.

Điểm đặc biệt là không chỉ thông tin cá nhân cơ bản như tên, địa chỉ, số điện thoại, số điện thoại di động, địa chỉ email, ngày tháng năm sinh, mà còn có thông tin riêng tư như lịch sử mua hàng và tên và kích cỡ đã đăng ký trong “Kích cỡ của tôi” đã bị rò rỉ, đây là một vụ việc gây khó chịu và lo lắng.

Trường hợp của Tòa thị chính tỉnh Kanagawa

Ngày 6 tháng 12 năm 2019, đã phát hiện ra rằng thông tin bao gồm thông tin cá nhân và các tài liệu hành chính đã bị rò rỉ do việc bán lại ổ cứng (HDD) được sử dụng tại Tòa thị chính tỉnh Kanagawa. Fujitsu Lease, công ty đã ký hợp đồng thuê máy chủ với tỉnh Kanagawa, đã tháo HDD từ máy chủ mà họ đã thuê vào mùa xuân năm 2019 và ủy thác việc tiêu hủy cho một công ty tái chế. Một nhân viên của công ty này đã mang đi một số HDD và bán lại chúng trên Yahoo Auctions mà không khởi tạo lại, và một người đàn ông quản lý một công ty IT đã mua 9 trong số đó. Khi ông ta kiểm tra nội dung, ông ta phát hiện dữ liệu mà ông ta cho là tài liệu chính thức của tỉnh Kanagawa và cung cấp thông tin cho một tờ báo. Khi tờ báo xác nhận với tỉnh, sự rò rỉ đã được phát hiện.

Theo thông báo của tỉnh vào sáng ngày 6, tổng cộng 18 HDD đã bị mang đi, trong đó 9 đã được thu hồi và 9 cái khác cũng đã được thu hồi sau đó. Dữ liệu bị rò rỉ bao gồm thông báo thuế với tên cá nhân và tên công ty, thông báo sau kiểm tra thuế với tên công ty, hồ sơ thuế xe hơi với tên cá nhân và địa chỉ, tài liệu nộp của công ty, hồ sơ công việc và danh sách nhân viên của tỉnh và dữ liệu khác chứa thông tin cá nhân. Mỗi HDD mang đi có dung lượng lưu trữ 3TB, vì vậy có thể đã có tối đa 54TB dữ liệu bị rò rỉ từ 18 ổ đĩa.

Tại tỉnh Kanagawa, có những sai sót cơ bản như:

• Không xem xét kỹ lưỡng về mã hóa ở cấp độ phần cứng cho máy chủ lưu trữ tài liệu hành chính, và lưu trữ dữ liệu nguyên bản
• Không nhận giấy chứng nhận hoàn thành hoặc tương tự, mặc dù họ đã quy định rằng sau khi xóa tất cả dữ liệu bằng cách khởi tạo khi trả lại thiết bị chứa thông tin quan trọng cho công ty thuê máy, công ty thuê máy sẽ tiến hành xóa dữ liệu
• Công ty tái chế mà người phụ trách cũng không biết đã tiến hành thu hồi thiết bị thuê

Và tại Fujitsu Lease, cũng có những sai sót cơ bản như:

• Đã giao phó việc tiêu hủy thiết bị (tái chế) cho công ty tái chế
• Mặc dù hợp đồng thuê máy yêu cầu họ cung cấp giấy chứng nhận cho tỉnh cho thấy dữ liệu đã được xóa hoàn toàn, họ không yêu cầu công ty tái chế phát hành giấy chứng nhận

Đối với công ty tái chế, không cần phải bàn cãi.

Tôi nghĩ rằng sự thiếu cảm nhận về nguy cơ liên quan đến bảo mật và thái độ trách nhiệm trốn tránh của ba tổ chức liên quan đã dẫn đến kết quả tệ hại này.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Các trường hợp truy cập trái phép khác

Số vụ tai nạn do truy cập trái phép gây ra thiệt hại lớn và ảnh hưởng rộng rãi đang tăng lên từng năm. Trong năm 2019, có tới 41 vụ (tại 32 công ty) – con số cao nhất trong 8 năm kể từ khi Tokyo Shōkō Research bắt đầu điều tra. Đây chiếm gần một nửa trong tổng số 86 vụ rò rỉ và mất mát thông tin trong năm 2019, với số lượng rò rỉ và mất mát là 8.902.078 vụ, chiếm 98,5% tổng số vụ trong năm 2019 (9.031.734 vụ). Ngoài các ví dụ đã nêu trên, trong năm 2019 cũng đã có nhiều trường hợp truy cập trái phép khác được phát hiện, bao gồm các ví dụ sau đây.

Trường hợp của công ty bán hàng dùng cho xe

Vào ngày 26 tháng 2, tại cửa hàng trực tuyến do Công ty cổ phần Hase-Pro – một công ty bán hàng dùng cho xe – quản lý, đã xảy ra sự cố truy cập trái phép do lợi dụng lỗ hổng trên trang web. Một màn hình thanh toán giả mạo đã được hiển thị và thông tin thẻ tín dụng mà người dùng nhập vào đã bị rò rỉ.

Trường hợp của “SachYHoc.com”

Vào ngày 25 tháng 3, máy chủ web của “SachYHoc.com”, do Công ty cổ phần xuất bản Quintessence chuyên về nha khoa điều hành, đã bị truy cập trái phép và thông tin cá nhân của người dùng trang web đã bị rò rỉ. Đối với khách hàng sử dụng thanh toán bằng thẻ tín dụng, thông tin thẻ tín dụng bao gồm mã bảo mật cũng đã bị rò rỉ. Ngoài ra, thông tin cá nhân của người dùng trang web tìm việc trong lĩnh vực nha khoa và Hội nghị Nha khoa Quốc tế Nhật Bản, cùng với thông tin cá nhân khác, đã bị rò rỉ, với tổng cộng lên đến 23.000 mục thông tin cá nhân.

Trường hợp của “NanatsuboshiGallery”

Vào ngày 12 tháng 4, trang web bán hàng trực tuyến liên quan đến dịch vụ tàu du lịch “Nanatsuboshi in Kyushu” của Công ty Cổ phần Đường sắt Hành khách Kyushu đã bị truy cập trái phép, dẫn đến việc rò rỉ thông tin cá nhân bao gồm thông tin thẻ tín dụng của khách hàng. Có khả năng thông tin bao gồm cả mã bảo mật đã bị rò rỉ đối với 3086 thành viên đã đăng ký thông tin thẻ tín dụng. Công ty cũng đã thông báo rằng có khả năng thông tin đã bị rò rỉ đối với 5120 trường hợp khác, bao gồm thành viên chưa đăng ký thông tin thẻ và người dùng đã sử dụng trang web.

Trường hợp dịch vụ giám sát khảo sát “An to Keito”

Vào ngày 23 tháng 5, đã xảy ra sự truy cập trái phép tận dụng lỗ hổng máy chủ tại dịch vụ giám sát khảo sát “An to Keito” do Công ty Cổ phần Ứng dụng Marketing điều hành. Thông tin cá nhân của 770.740 tài khoản đã bị rò rỉ, bao gồm thông tin như địa chỉ email, giới tính, nghề nghiệp, nơi làm việc, thông tin liên quan đến tài khoản ngân hàng, v.v.

Trường hợp của “Yamada Webcom – Yamada Mall”

Vào ngày 29 tháng 5, tại “Yamada Webcom – Yamada Mall” do Công ty Cổ phần Yamada Điện tử điều hành, đã xảy ra sự truy cập trái phép, ứng dụng thanh toán đã bị chỉnh sửa và tối đa 37.832 hồ sơ thông tin khách hàng đã được đăng ký trong thời gian này đã bị rò rỉ.

Trường hợp với thẻ Aeon

Vào ngày 13 tháng 6, đã xảy ra sự cố đăng nhập trái phép do tấn công bằng danh sách mật khẩu trên thẻ Aeon của Công ty Cổ phần Dịch vụ Tín dụng Aeon. Đã được xác nhận rằng có thể đăng nhập trái phép trên 1917 tài khoản, trong đó 708 tài khoản đã bị đăng nhập trái phép, gây ra tổng cộng khoảng 22 triệu yên thiệt hại do sử dụng trái phép. Người tấn công đã tấn công danh sách mật khẩu vào “Aeon Square” trên trang web chính thức để lấy trái phép thông tin tài khoản người dùng, thay đổi thông tin liên lạc thành một địa chỉ khác bằng chức năng thay đổi thông tin đăng ký trên ứng dụng chính thức, và sử dụng tiền thông qua chức năng thanh toán liên kết.

Trường hợp ứng dụng “Vpass” của Sumitomo Mitsui Card

Vào ngày 23 tháng 8, Công ty Sumitomo Mitsui Card đã thông báo rằng có khả năng thông tin ID của tối đa 16.756 khách hàng trên ứng dụng dành cho thành viên “Vpass” đã bị xâm nhập trái phép. Công ty đã xác nhận việc truy cập trái phép thông qua cuộc khảo sát giám sát định kỳ mà họ thực hiện và sau khi điều tra nguyên nhân, họ đã xác định rằng đây là một cuộc tấn công dạng danh sách mật khẩu, vì phần lớn trong số khoảng 5 triệu lần đăng nhập đã thử nghiệm không đăng ký với dịch vụ này.

Trường hợp của ‘J-Coin Pay’ của Ngân hàng Mizuho

Vào ngày 4 tháng 9, Công ty Mizuho Financial Group (Ngân hàng Mizuho) đã thông báo rằng hệ thống thử nghiệm liên quan đến quản lý cửa hàng thành viên của dịch vụ ‘J-Coin Pay’ đã bị truy cập trái phép, dẫn đến việc rò rỉ thông tin của 18.469 cửa hàng thành viên J-Coin.

Trường hợp của「10mois WEBSHOP」

Vào ngày 19 tháng 9, cửa hàng trực tuyến「10mois WEBSHOP」của Công ty TNHH Ficelle đã thông báo về việc xảy ra truy cập trái phép, dẫn đến việc rò rỉ 108.131 hồ sơ thông tin cá nhân của khách hàng và 11.913 thông tin thẻ tín dụng. Thông tin thẻ tín dụng bị rò rỉ cũng bao gồm mã bảo mật.

Trường hợp trang web chính thức của Công ty Cổ phần Kyoto Ichinoden

Vào ngày 8 tháng 10, trang web chính thức của Công ty Cổ phần Kyoto Ichinoden, nổi tiếng với các sản phẩm như dưa muối Tây Kinh, đã bị truy cập trái phép và biểu mẫu thanh toán đã bị thay đổi. Thông tin thẻ tín dụng bao gồm mã bảo mật của 18,855 tài khoản, cùng với thông tin thành viên và lịch sử giao hàng của 72,738 tài khoản đã bị rò rỉ.

Trường hợp “Mua sắm tại Zojirushi”

Vào ngày 5 tháng 12, Công ty Cổ phần Zojirushi đã thông báo rằng có thể đã có tới 280.052 bản ghi thông tin khách hàng bị rò rỉ do một cuộc tấn công trái phép vào “Mua sắm tại Zojirushi”, trang web mà họ quản lý. Nguyên nhân của cuộc tấn công trái phép này được cho là do những lỗ hổng bảo mật trong trang web, và từ ngày 4 tháng 12 trở đi, công ty đã tạm dừng việc công bố trang web mua sắm.

Trường hợp của dịch vụ tiểu thuyết điện tử ‘Novelba’

Vào ngày 25 tháng 12, dịch vụ tiểu thuyết điện tử ‘Novelba’ do công ty cổ phần Beaglee quản lý đã bị tấn công bằng truy cập trái phép, dẫn đến việc rò rỉ thông tin cá nhân của 33,715 người đăng ký, bao gồm địa chỉ email. Ngoài ra, cũng có khả năng thông tin tài khoản của 76 người dùng đã đăng ký chương trình thưởng cũng đã bị rò rỉ, từ đó có thể gây ra những thiệt hại thứ cấp.

Tóm tắt

Việc thực hiện các biện pháp phù hợp để ngăn chặn rò rỉ và mất mát thông tin cá nhân đã trở thành vấn đề quan trọng đối với tất cả các tổ chức và doanh nghiệp xử lý thông tin cá nhân. Đặc biệt, đối với các doanh nghiệp nhỏ, thiếu vốn và nguồn lực nhân sự so với các công ty niêm yết, sự cố rò rỉ thông tin có thể gây ra thiệt hại chết người cho hoạt động kinh doanh. Việc đáp ứng với việc xây dựng hệ thống quản lý an ninh và thông tin là điều bắt buộc. Trong bối cảnh việc tận dụng dữ liệu lớn và những yếu tố khác, thông tin cá nhân ngày càng trở nên quan trọng hơn. Đồng thời, việc tăng cường các biện pháp an ninh đối với việc truy cập trái phép ngày càng tinh vi và quản lý thông tin nghiêm ngặt trở thành tiền đề quan trọng của quản lý rủi ro.