Skip to content
Fuite de donnéesContenu

La filiale japonaise d'Aflac victime d'une fuite touchant 4,38 millions de clients et agents

Aflac a révélé que des attaquants ayant compromis le portail des assurés de sa filiale japonaise avaient exfiltré les données personnelles d'environ 4,38 millions de clients et d'agents d'assurance.

Victime
Aflac Life Insurance Japan
données
4.4M
utilisateurs
4.4M

Le 30 juin 2026, Aflac — le géant américain de l'assurance complémentaire — a révélé que des attaquants avaient compromis les systèmes de sa filiale japonaise, Aflac Life Insurance Japan, et dérobé les données personnelles d'environ 4,38 millions de clients et d'agents d'assurance. L'entreprise a précisé que l'intrusion était limitée à ses activités au Japon et que les systèmes soutenant ses opérations américaines n'avaient pas été touchés.

Selon Aflac, un tiers non autorisé a accédé à plusieurs reprises au portail des assurés de la filiale entre le 15 et le 25 juin 2026, date à laquelle l'activité a été détectée. Les données exposées comprennent les noms, adresses, numéros de téléphone, dates de naissance, sexe, informations de sécurité et détails des comptes d'assurance. Un sous-ensemble d'environ 230 000 personnes a également vu ses informations de compte de prélèvement des primes exfiltrées, l'entreprise indiquant toutefois qu'aucune donnée de carte bancaire n'avait été consultée.

Réponse

Après avoir découvert l'intrusion le 25 juin 2026, Aflac Japan a suspendu les systèmes affectés pour contenir l'incident et a fait appel à des spécialistes tiers pour appuyer l'enquête. L'entreprise a averti que cette mise hors service avait perturbé plusieurs de ses services le temps de sécuriser son environnement, et a indiqué qu'elle informerait les personnes concernées et coopérerait avec les régulateurs à mesure que son analyse informatique se poursuivrait.

Pourquoi c'est important

Cette fuite figure parmi les plus importantes d'une vague d'intrusions ayant visé de grandes entreprises japonaises en juin 2026. Aflac n'a attribué l'attaque à aucun acteur malveillant précis et n'a pas détaillé la manière dont les attaquants ont obtenu l'accès initial ; certains chercheurs en sécurité ont émis l'hypothèse que l'incident pourrait correspondre au mode opératoire du collectif Scattered Spider, qui a visé à plusieurs reprises de grands assureurs, sans qu'un tel lien n'ait été confirmé. Pour les assurés, l'exposition des noms, coordonnées, dates de naissance et informations de compte d'assurance crée un risque durable de fraude ciblée et d'ingénierie sociale, bien après le rétablissement des systèmes.

Chronologie

  1. Aflac Japan détecte un accès non autorisé à son portail des assurés et suspend les systèmes affectés.

  2. Aflac révèle publiquement la fuite, estimant que les données personnelles d'environ 4,38 millions de clients et d'agents ont été exfiltrées.

Sources

  1. therecord.mediahttps://therecord.media/japan-cyber-breaches-aflac-sapporo-nidec-kddi
  2. securityweek.comhttps://www.securityweek.com/aflac-japan-data-breach-impacts-4-38-million/
  3. bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/insurance-giant-aflac-discloses-data-breach-after-subsidiary-hack/
  4. securityaffairs.comhttps://securityaffairs.com/194488/data-breach/hackers-steal-data-of-4-38-million-aflac-japan-customers.html

Incidents liés

Fuite de donnéesRésolu

Fuite de données Zurich (2023)

En janvier 2023, la filiale japonaise de l'assureur Zurich a subi une fuite de données qui a exposé 2,6 millions d'enregistrements clients comprenant plus de 756 000 adresses e-mail uniques. Les données ont par la suite été publiées sur un forum de piratage populaire et comprenaient également des noms, des genres, des dates de naissance et des détails sur les véhicules assurés.

Victim
Zurich
Records
756.7K
Fuite de donnéesInconnu

23 685 enregistrements : fuite revendiquée chez ATOA

Un acteur malveillant a mis en vente sur un forum du dark web une base de données d'ATOA — fintech française de tokenisation immobilière et d'investissement fractionné — exposant environ 23 685 enregistrements d'utilisateurs et financiers ainsi que 326 archives KYC complètes (passeports, pièces d'identité, données bancaires).

Victim
ATOA
Records
23.7K