Skip to content
Cyber Breaches
Recherche
Menace interneRésolu

Violation de données interne chez Benesse

Un ingénieur système d'un sous-traitant a copié 35 millions d'enregistrements clients du géant japonais de l'éducation Benesse sur un appareil personnel et les a vendus à des courtiers en données — le plus grand vol de données interne de l'histoire du Japon, déclenchant un programme d'indemnisation de 20 milliards de yens.

Victime
Benesse Holdings
Perte
$190.0M
données
35.0M
utilisateurs
35.0M
SecteurÉducation
PaysJapon
GroupeMasaomi Matsuzaki (contractor system engineer)

Le 9 juillet 2014, Benesse Holdings, le plus grand prestataire japonais d'enseignement par correspondance, a révélé que les données personnelles de millions de ses clients avaient fuité. Le bilan final — 35,04 millions d'enregistrements — en a fait le plus grand vol de données interne de l'histoire du Japon et un moment décisif pour le régime de protection des données du pays.

Ce qui s'est passé

La violation n'était pas un piratage externe. Masaomi Matsuzaki, un ingénieur système employé par un sous-traitant du groupe Benesse (Synform), disposait d'un accès légitime à la base de données dans le cadre de son travail. À l'aide de ses identifiants, il a copié des enregistrements clients sur un smartphone personnel et un support de stockage amovible, puis a vendu les données à plusieurs courtiers. Les enquêteurs ont retrouvé par la suite environ 22,6 millions de fichiers clients sur son seul smartphone.

Matsuzaki a admis avoir vendu les informations dérobées à environ 15 courtiers en données pour environ 2,5 millions de yens, motivé par des dettes personnelles liées au jeu et aux dépenses courantes. Les enregistrements divulgués — provenant de familles abonnées aux produits éducatifs « Shinken Seminar » et « Kodomo Challenge » de Benesse — comprenaient noms, dates de naissance, adresses, numéros de téléphone et liens parent/enfant, dont une grande partie concernait des enfants.

Impact

  • 35,04 millions d'enregistrements confirmés divulgués.
  • Benesse a établi un fonds d'indemnisation de 20 milliards de yens (environ 190 millions de dollars), offrant à chaque foyer affecté un bon-cadeau de 500 yens ou un don équivalent à une fondation pour l'enfance nouvellement créée.
  • L'entreprise a subi un fort exode de clients : les inscriptions à ses cours phares par correspondance ont chuté d'environ 940 000 membres sur un an d'ici avril 2015.
  • En novembre 2014, l'autorité japonaise de protection de la vie privée a révoqué le Privacy Mark de Benesse.
  • Les victimes ont déposé des recours collectifs, donnant lieu à certaines des plus importantes actions multi-plaignants en matière de violation de données qu'ait connues le Japon.

Pourquoi c'est important

Benesse a cristallisé la menace interne pour les entreprises japonaises et exposé les faiblesses des contrôles d'accès des tiers / sous-traitants — l'ingénieur était un employé d'un prestataire, et non un salarié de Benesse. L'ampleur et l'implication de données d'enfants ont provoqué l'indignation publique et influencé directement l'amendement de 2015 à la loi japonaise sur la protection des informations personnelles (APPI), qui a renforcé les règles sur le traitement et la revente de données personnelles ainsi que sur la supervision des sous-traitants. Il demeure le cas japonais de référence pour montrer que les contrôles techniques doivent s'étendre aux initiés privilégiés et au personnel externalisé, et pas seulement aux attaquants externes.

Chronologie

  1. Benesse commence à recevoir des plaintes de clients dont les données semblent avoir fuité vers d'autres entreprises d'éducation.

  2. Benesse annonce publiquement que des informations personnelles de clients ont été compromises.

  3. La police arrête Masaomi Matsuzaki, ingénieur système chez un sous-traitant du groupe, soupçonné d'avoir dérobé les données.

  4. Benesse confirme que la fuite totalise 35,04 millions d'enregistrements et annonce un fonds d'indemnisation de 20 milliards de yens.

  5. L'autorité japonaise de protection de la vie privée révoque la certification Privacy Mark de Benesse à la suite de l'incident.

Sources

  1. asia.nikkei.comhttps://asia.nikkei.com/Business/Customer-data-leak-deals-blow-to-Benesse
  2. news.softpedia.comhttps://news.softpedia.com/news/Engineer-Arrested-Over-Massive-Benesse-Holdings-Data-Leak-451166.shtml
  3. scmp.comhttps://www.scmp.com/news/asia/article/1557139/226m-customer-files-leaked-benesse-data-theft
  4. bakermckenzie.comhttps://www.bakermckenzie.com/-/media/files/insight/publications/2014/10/benesse-compensates-customers-for-data-leak/files/read-publication/fileattachment/al_ip_benessedataleak_oct14.pdf

Incidents liés

RançongicielRançon payée

Rançongiciel BlackSuit contre KADOKAWA / Niconico (2024)

Un accès obtenu par hameçonnage a permis à BlackSuit (lié à la Russie) de chiffrer l'infrastructure de KADOKAWA et la plateforme de partage vidéo Niconico, mettant les services hors ligne pendant deux mois. KADOKAWA a versé environ 2,9 M$ en cryptomonnaies — et BlackSuit a tout de même divulgué les 1,5 To dérobés.

Victim
KADOKAWA Corporation
Loss
$2.9M
Records
254.2K
Menace interneRésolu

Vol de données de cartes du Korea Credit Bureau

Un sous-traitant du Korea Credit Bureau a copié sur une clé USB les données de cartes et d'identité d'environ 20 millions de clients des émetteurs KB Kookmin, Lotte et NH Nonghyup, puis les a revendues — l'un des plus grands vols de données financières de l'histoire de la Corée du Sud.

Victim
Korea Credit Bureau (KCB) / unités cartes KB Kookmin, Lotte, NH Nonghyup
Records
20.0M
Menace interneRésolu

Fuite de données clients de Yandex.Eda

Le service de livraison de repas de Yandex, Yandex.Eda, a divulgué les noms, numéros de téléphone, adresses, codes d'interphone et détails de commande de plus de 58 000 clients, ensuite reportés sur un site web public interactif. Le régulateur russe Roskomnadzor a ouvert une procédure et un tribunal de Moscou a infligé à l'entreprise une amende de 60 000 roubles.

Victim
Yandex.Eda
Loss
$700
Records
58.0K