Incidentes Asociados
Actualizado el 17 de marzo de 2025, 16:00
17 de marzo de 2025
Kaikatsu Frontier Co., Ltd.
Aviso sobre acceso no autorizado y posible filtración de información personal
(Quinto informe)
Como se anunció previamente el 21 y el 28 de enero de 2025, en relación con el acceso no autorizado a nuestro servidor desde una fuente externa y la posible filtración de información personal de algunos de nuestros clientes, hemos completado una investigación realizada por una agencia especializada externa y una investigación interna. Nos gustaría informarles sobre los resultados de la investigación y las medidas para evitar que se repita.
Además, desde que se conoció el incidente, no se ha confirmado ninguna filtración de información personal ni daños secundarios derivados de la misma. Pedimos disculpas sinceras a nuestros clientes y a todas las partes implicadas por las molestias y la preocupación ocasionadas.
Nota
[Respuesta a este incidente]
La noche del sábado 18 de enero de 2025, detectamos un acceso no autorizado a nuestro servidor y tomamos inmediatamente las medidas necesarias, incluyendo la desconexión del servidor de la red. Posteriormente, al investigar el alcance del impacto con la asesoría de una agencia externa especializada, encontramos evidencia de acceso no autorizado al sistema que administra las cuentas de los miembros y descubrimos que es posible que se haya filtrado información personal.
Tras descubrir este incidente, creamos rápidamente un grupo de trabajo y comenzamos a investigar el alcance del impacto y su causa, además de consultar con la policía e informar del incidente a la Comisión de Protección de Datos Personales.
El progreso de nuestra respuesta hasta la fecha es el siguiente:
20 de enero de 2025 (lunes): Establecimiento de un grupo de trabajo, inicio de las restricciones en el uso de los servicios de la aplicación para miembros y anuncio público (primer informe). 21 de enero de 2025 (martes): Informe a la Comisión de Protección de Datos Personales (primer informe), anuncio público (segundo informe). 21 de enero de 2025 (martes) - 14 de febrero de 2025 (viernes): Realización de investigaciones por parte de agencias especializadas externas e investigaciones internas. 28 de enero de 2025 (martes): Informe a la Comisión de Protección de Datos Personales (informe de seguimiento), anuncio público (tercer informe). 31 de enero de 2025 (viernes): Anuncio público (cuarto informe). 14 de febrero de 2025 (viernes): Recepción de los resultados de la investigación de las agencias especializadas externas. 19 de febrero de 2025 (miércoles). - 28 de febrero de 2025 (viernes): Restricciones a los servicios de la aplicación para miembros en secuencia de reapertura
- Jueves, 13 de marzo de 2025: Informe a la Comisión de Protección de Datos Personales (Informe Final)
- Lunes, 17 de marzo de 2025: Anuncio Público (Quinto Informe)
[Hechos Revelados por la Investigación]
-
Identificación de las causas del ataque de acceso no autorizado y los programas afectados
-
Identificación del alcance de la información potencialmente filtrada
[Personas e Información Personal Posiblemente Filtrada]
Personas: Socios del Kaikatsu CLUB (algunos clientes que visitaron el club entre el 1 de octubre de 2015 y el 20 de enero de 2025)
Socios Provisionales del Kaikatsu CLUB (algunos clientes que se hicieron socios entre el 25 de marzo de 2019 y el 20 de enero de 2025)
Socios de FiT24 y de FiT24 Indoor Golf (algunos clientes que visitaron el club entre el 30 de octubre de 2019 y el 20 de enero de 2025) 2018 y 1 de abril de 2023) (Parte de quienes se han hecho miembros)
Alcance de la información personal: Nombre, nombre de Kana, género, código postal, dirección, número de teléfono, fecha de nacimiento, número de membresía, tipo de membresía, estado de la membresía, puntos actuales y fecha de vencimiento, código de la tienda, fecha y hora de la última transacción, código de barras, preferencia de notificación push, mensaje de cupón
Número de entradas de información personal: 7.290.087
*Los miembros temporales son personas que aún no se han registrado en la tienda.
*La información personal que podría filtrarse no incluye la identificación (licencia de conducir, etc.) presentada al momento de registrarse, la información de la tarjeta de crédito, la dirección de correo electrónico ni la contraseña de la aplicación de membresía.
[Respuesta a las personas afectadas]
Nos pusimos en contacto con las personas afectadas por correo electrónico o correo postal entre el miércoles 29 de enero de 2025 y el jueves 13 de marzo de 2025.
Tenga en cuenta que, para quienes no hayan sido contactados por estos medios, este anuncio sustituirá la comunicación.
[Medidas para evitar que se repitan]
Con base en los resultados de la investigación sobre este asunto, ya hemos implementado las siguientes medidas:
- Reparación de los programas afectados por accesos no autorizados
- Implementación de nuevo software de seguridad y aplicación de parches de seguridad
- Reforzamiento de la supervisión de accesos no autorizados a sitios web y refuerzo del bloqueo cuando se detecten
Además, hemos confirmado que no hay evidencia de accesos no autorizados en servidores y programas no afectados, y hemos implementado medidas de seguridad como el fortalecimiento de las políticas de contraseñas, la prevención y supervisión de accesos externos no autorizados y la implementación de defensas multicapa.
Seguiremos trabajando con organizaciones externas especializadas para reforzar aún más nuestras medidas de seguridad y nuestro sistema de supervisión, y nos esforzaremos por evitar que se repitan.
Fin
Actualizado el 31 de enero de 2025, 10:00 a. m.
Corrección parcial del "Aviso sobre acceso no autorizado y posible filtración de información personal"
El aviso del 28 de enero de 2025 contenía un error en la descripción de las personas afectadas, por lo que lo corregimos de la siguiente manera.
Tenga en cuenta que no se han corregido las cifras de información personal potencialmente filtrada ni ninguna otra información anunciada previamente.
Nota
[Personas e información personal potencialmente filtradas]
Antes de la corrección
Personas afectadas: Socios del Kaikatsu CLUB (algunas personas que se hicieron socios entre el 1 de octubre de 2015 y el 20 de enero de 2025)
Después de la corrección (sección subrayada)
Personas afectadas: Socios del Kaikatsu CLUB (algunas personas que visitaron nuestra tienda entre el 1 de octubre de 2015 y el 20 de enero de 2025)
*Una visita a la tienda se refiere a las personas que visitaron nuestra tienda y pagaron durante el período especificado.
*No hay correcciones para los Socios Provisionales del Kaikatsu CLUB, los Socios de F1T24 y los Socios de F1T24 Indoor Golf.
Hasta el momento, no hemos confirmado ninguna filtración de información personal relacionada con este asunto, ni ningún daño secundario derivado de la filtración.
Seguiremos investigando y haremos todo lo posible para evitar que se repita.
Fin
A las 10:30 a. m. del 28 de enero de 2025
A quien corresponda
Nos disculpamos sinceramente por la preocupación causada a nuestros clientes y otras partes relacionadas con el acceso no autorizado a nuestro servidor desde una fuente externa, que anunciamos el 21 de enero de 2025, y la posible filtración de información personal de algunos de nuestros clientes.
Continuamos con la investigación y la respuesta, y hemos descubierto nueva información que requiere una notificación adicional. Al momento de escribir este artículo, no hemos confirmado ninguna filtración de información personal relacionada con este incidente, ni ningún daño secundario derivado de la filtración.
Nota
[Individuos e Información Personal Posiblemente Filtrados]
Individuos Afectados: Socios del Kaikatsu CLUB (algunos que se unieron entre el 1 de octubre de 2015 y el 20 de enero de 2025)
Socios Provisionales del Kaikatsu CLUB (algunos que se unieron entre el 25 de marzo de 2019 y el 20 de enero de 2025)
Socios de FiT24 y Socios de FiT24 Indoor Golf (algunos que se unieron entre el 30 de octubre de 2018 y el 1 de abril de 2023)
Información Personal: Nombre, apellido (kana), sexo, código postal, dirección, número de teléfono, fecha de nacimiento, número de socio, tipo de socio, estado de socio, puntos y fecha de vencimiento más recientes, código de tienda, fecha y hora de la última transacción, código de barras, preferencia de notificación push, mensaje de cupón
Número de Datos Personales: 7.290.087
*Los datos subrayados indican información adicional respecto al anuncio anterior.
*Los miembros temporales son aquellos que no se han registrado como miembros en la tienda.
*La información personal que podría filtrarse no incluye la información de identificación (licencia de conducir, etc.) presentada al momento de registrarse, la información de la tarjeta de crédito, la dirección de correo electrónico ni la contraseña de la aplicación de membresía.
*Para los miembros de FiT24 y FiT24 Indoor Golf, los miembros que se unieron durante el período afectado se registraron automáticamente como miembros de Kaikatsu CLUB, por lo que solo algunos de los miembros que se unieron durante el período afectado se ven afectados.
*Esto no incluye a los miembros de Cote d'Azur ni a los miembros provisionales de Cote d'Azur.
[Respuesta a las personas afectadas]
Seguiremos contactando a las personas afectadas por correo electrónico, correo postal, etc., a su debido tiempo.
[Nuestra respuesta]
Hoy informamos a la Comisión de Protección de Datos Personales sobre la nueva información descubierta. Además, si surge algún asunto que requiera divulgación en el futuro, lo anunciaremos de inmediato en nuestro sitio web.
Seguiremos investigando este asunto y haremos todo lo posible para evitar que se repita.
Fin
A las 18:10 h del 21 de enero de 2025
A quien corresponda
Hemos descubierto que nuestro servidor sufrió un acceso no autorizado desde una fuente externa, lo que podría haber provocado la filtración de información personal de algunos de nuestros clientes. Nos disculpamos sinceramente por las molestias y la preocupación que esto ha causado a nuestros clientes y otras partes interesadas.
Los detalles de este incidente son los siguientes:
Nota
[Antecedentes]
La noche del sábado 18 de enero de 2025, detectamos un acceso no autorizado a nuestro servidor e inmediatamente tomamos las medidas necesarias, incluyendo la desconexión del servidor de la red. Posteriormente, mientras investigábamos el alcance del impacto con la asesoría de una organización externa (un experto en seguridad externo), encontramos evidencia de acceso no autorizado al sistema que administra las cuentas de los miembros y descubrimos que es posible que se haya filtrado información personal.
[Posible filtración de información personal]
Nombres, sexo, dirección, número de teléfono, fecha de nacimiento y número de socio de los miembros y socios provisionales del Club Kaikatsu.
*No se ha filtrado información personal de los miembros y socios provisionales de Cote d'Azur a terceros.
Tenga en cuenta que la información personal proporcionada al registrarse (licencia de conducir, etc.), la información de la tarjeta de crédito y la dirección de correo electrónico no se incluyen en la posible filtración, ya que se almacenan en un servidor diferente al que se accedió. Sin embargo, se está investigando el número total de datos personales afectados.
[Nuestra respuesta]
Tras conocer este incidente, colaboramos con nuestra empresa matriz, AOKI Holdings, Inc., para tomar medidas que evitaran la propagación del impacto, reforzando nuestros métodos de bloqueo de comunicaciones no autorizadas. También establecimos un grupo de trabajo, consultamos con la policía y presentamos los informes necesarios a la Comisión de Protección de Datos Personales. Continuaremos investigando la causa y trabajando para comprender completamente los daños.
Proporcionaremos más información a medida que dispongamos de más información.
Nos tomamos este incidente muy en serio y haremos todo lo posible para evitar que se repita, lo que incluye mejorar nuestro sistema de seguridad y reforzar nuestro sistema de monitorización de red.
[Sobre los cupones de la aplicación Kaikatsu]
La fecha de vencimiento del cupón de 300 puntos distribuido el 17 de enero se extenderá del 24 de enero a las 23:59 al 28 de febrero a las 23:59.
Fin
A partir de la 1:00 p. m. del 20 de enero de 2025
Hemos confirmado que Kaikatsu CLUB, el espacio para compartir que opera nuestra empresa, está experimentando interrupciones en la red debido a un ataque DDoS. Como resultado, la funcionalidad de la aplicación Kaikatsu CLUB se ha limitado a "Mostrar tarjetas de membresía".
Actualmente estamos investigando el método de ataque y tomando medidas correctivas. Les informaremos en cuanto la situación mejore.
Afectado: Aplicación Kaikatsu CLUB
Causa: Congestión de red debido a un ataque DDoS
Disculpen las molestias.
Fin