La violation de la plateforme e-mail de KDDI expose jusqu'à 14,2 millions d'identifiants de FAI
Une faille dans un logiciel tiers a permis de compromettre la plateforme e-mail mutualisée que KDDI exploite pour six FAI japonais, exposant jusqu'à 14,22 millions d'identifiants e-mail.
- Victime
- KDDI Corporation
- données
- 14.2M
- utilisateurs
- 14.2M
Le 24 juin 2026, le géant japonais des télécommunications KDDI Corporation a divulgué une violation de données touchant une plateforme e-mail mutualisée qu'elle exploite pour le compte de plusieurs fournisseurs d'accès à Internet, avertissant que jusqu'à 14,22 millions d'adresses e-mail et de mots de passe pourraient avoir été exposés. L'entreprise a indiqué avoir détecté l'accès non autorisé le 17 juin 2026 et avoir agi pour sécuriser le système concerné.
La violation se distingue par son rayon d'impact sur une infrastructure mutualisée : comme KDDI exploite le même back-end de messagerie pour plusieurs FAI, une seule intrusion a mis simultanément en danger les identifiants de six fournisseurs différents.
Ce qui s'est passé
L'enquête de KDDI a établi que l'attaquant avait exploité une vulnérabilité dans un logiciel tiers intégré au système de messagerie, obtenant un accès non autorisé aux informations associées aux boîtes aux lettres des utilisateurs. Les données potentiellement exposées comprennent les adresses e-mail et les mots de passe nécessaires à l'exploitation des comptes créés sur les services concernés.
Le chiffre d'exposition maximale de 14,22 millions d'enregistrements est une borne supérieure qui inclut les comptes inactifs et les utilisateurs ayant précédemment résilié leurs services ; le nombre de clients actuellement actifs touchés est donc probablement inférieur.
Fournisseurs concernés
Les services de messagerie exploités via la plateforme de KDDI couvrent six fournisseurs d'accès à Internet, dont :
- STNet
- KDDI Web Communications
- J:COM
- Chubu Telecommunications
- Nifty
- Biglobe
Réponse
KDDI a indiqué avoir immédiatement modifié le système concerné et déployé des mesures de protection après avoir identifié le point d'entrée utilisé par l'attaquant. L'entreprise a invité les utilisateurs potentiellement touchés à rester vigilants face aux campagnes d'hameçonnage consécutives et à changer leurs mots de passe.
Pourquoi c'est important
L'incident souligne le risque de concentration des infrastructures back-end mutualisées dans le secteur des télécoms et des FAI : regrouper l'hébergement de messagerie pour de nombreuses marques grand public est efficace, mais cela signifie qu'une seule dépendance exploitée peut se propager en l'une des plus importantes expositions d'identifiants de l'année. Les couples adresse e-mail / mot de passe exposés sont particulièrement dommageables car ils alimentent les attaques par bourrage d'identifiants contre des services sans rapport, lorsque les clients réutilisent les mêmes mots de passe.
Chronologie
KDDI détecte un accès non autorisé à un système de messagerie qu'elle fournit à plusieurs fournisseurs d'accès à Internet.
KDDI divulgue publiquement la violation, avertissant que jusqu'à 14,22 millions d'adresses e-mail et de mots de passe pourraient avoir été exposés chez six FAI.
Sources
- bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/data-breach-exposes-up-to-142-million-email-logins-at-six-isps/
- securityaffairs.comhttps://securityaffairs.com/194387/data-breach/kddi-data-breach-impacts-up-to-14-2-million-email-accounts-at-six-isps.html
- japantimes.co.jphttps://www.japantimes.co.jp/business/2026/06/24/companies/kddi-data-breach-cyberattack/