Kyushu Electric Power Co., Inc. telah mengungkapkan insiden keamanan fisik yang memengaruhi data pribadi lebih dari 10 juta pelanggan.
Dalam pengumuman resminya, perusahaan menjelaskan bahwa staf TI secara rutin melakukan pencadangan untuk mengelola penyimpanan server. Karena keterbatasan kapasitas, pada tanggal 27 April perangkat penyimpanan eksternal digunakan untuk tugas tersebut.
Drive tersebut kemudian disimpan di lemari ruang server yang dilindungi oleh beberapa lapisan keamanan fisik. Pada tanggal 26 Mei, ketika staf IT pergi untuk mengambilnya, mereka menemukan kabinetnya tidak terkunci dan drive-nya hilang.
Perusahaan Tenaga Listrik Kyushu adalah salah satu perusahaan utilitas listrik regional utama di Jepang, yang memasok listrik ke seluruh wilayah Kyushu, yang mencakup prefektur Fukuoka, Saga, Nagasaki, Kumamoto, Oita, Miyazaki, dan Kagoshima.
Populasi keseluruhan wilayah Kyushu adalah 12,6 juta jiwa, dan perusahaan menyatakan bahwa insiden tersebut berdampak pada 10,9 juta akun.
Data yang ada di drive yang sekarang hilang meliputi:
- Nama pelanggan
- Alamat lokasi layanan
- Data penggunaan listrik
- Nomor telepon
- Nama penyedia listrik ritel
- Informasi terkait lainnya
Perusahaan telah mengklarifikasi bahwa tidak ada informasi rekening bank atau data kartu kredit yang disimpan di drive tersebut. Perusahaan juga berjanji untuk memberi tahu pelanggan yang terkena dampak secara individual pada periode mendatang.
Sejak hilangnya hard drive tersebut, perusahaan telah mewawancarai semua personel yang memasuki ruang server dan melakukan penyelidikan, namun tidak dapat menemukannya.
Outlet media laporan bahwa 57 orang memiliki akses ke ruang server tersebut, dan Kyushu Electric mengajukan laporan polisi pada tanggal 4 Juni, mencurigai seseorang telah menghapus drive tersebut.
NHK One melaporkan bahwa Kementerian Ekonomi, Perdagangan, dan Industri Jepang telah melakukannya diberikan perusahaan sampai 8 Juli untuk melaporkan semua rincian tentang insiden tersebut dan tindakan pencegahan yang diambil.
“Perusahaan sedang menyelidiki semua kemungkinan, termasuk penghapusan perangkat secara tidak sah, tetapi perangkat tersebut belum ditemukan,” membaca buletin.
Insiden ini telah dilaporkan ke Komisi Perlindungan Informasi Pribadi Jepang dan otoritas pemerintah terkait.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
