Incidents associés
Mise à jour : 17 mars 2025, 16h00
17 mars 2025
Kaikatsu Frontier Co., Ltd.
Avis concernant un accès non autorisé et une possible fuite de données personnelles
(Cinquième rapport)
Comme annoncé précédemment les 21 et 28 janvier 2025 concernant un accès non autorisé à notre serveur depuis une source externe et la possible fuite de données personnelles de certains de nos clients, nous avons mené à bien une enquête par un organisme spécialisé externe ainsi qu'une enquête interne. Nous souhaitons vous informer des résultats de cette enquête et des mesures prises pour éviter toute récidive.
Par ailleurs, depuis que l'incident a été porté à notre connaissance, aucune fuite de données personnelles ni aucun dommage indirect n'ont été confirmés. Nous présentons nos sincères excuses à nos clients et à toutes les autres parties concernées pour les désagréments et les inquiétudes occasionnés.
Note
[Réponse à cet incident]
Le samedi 18 janvier 2025 au soir, nous avons détecté un accès non autorisé à notre serveur et avons immédiatement pris les mesures nécessaires, notamment la déconnexion du serveur du réseau. Par la suite, lors d'une enquête menée avec l'aide d'un organisme spécialisé externe afin d'évaluer l'étendue des dégâts, nous avons constaté un accès non autorisé au système de gestion des comptes membres et découvert que des informations personnelles avaient potentiellement fuité.
Après la découverte de cet incident, nous avons immédiatement mis en place une cellule de crise et entrepris une enquête afin d'en déterminer l'étendue et les causes. Nous avons également consulté les forces de l'ordre et signalé l'incident à la Commission nationale de l'informatique et des libertés (CNIL).
Voici l'état d'avancement de notre réponse à ce jour :
20 janvier 2025 (lundi) : Création d'un groupe de travail, mise en place de restrictions d'utilisation des services de l'application pour les membres et annonce publique (premier rapport)
21 janvier 2025 (mardi) : Rapport à la Commission de protection des renseignements personnels (premier rapport) et annonce publique (deuxième rapport)
Du 21 janvier 2025 (mardi) au 14 février 2025 (vendredi) : Enquêtes menées par des organismes spécialisés externes et enquêtes internes
28 janvier 2025 (mardi) : Rapport à la Commission de protection des renseignements personnels (rapport de suivi) et annonce publique (troisième rapport)
31 janvier 2025 (vendredi) : Annonce publique (quatrième rapport)
14 février 2025 (vendredi) : Réception des résultats des enquêtes des organismes spécialisés externes
19 février 2025 (Mercredi) - 28 février 2025 (vendredi) : Restrictions progressives des services de l'application réservée aux membres en vue de leur réouverture
-
Jeudi 13 mars 2025 : Rapport à la Commission de protection des données personnelles (Rapport final)
-
Lundi 17 mars 2025 : Communiqué public (Cinquième rapport)
[Constatations de l'enquête]
-
Identification des causes de l'attaque par accès non autorisé et des programmes concernés
-
Identification de l'étendue des informations potentiellement divulguées
[Personnes et données personnelles potentiellement divulguées]
Personnes : Membres du Kaikatsu CLUB (clients ayant fréquenté l'établissement entre le 1er octobre 2015 et le 20 janvier 2025)
Membres provisoires du Kaikatsu CLUB (clients ayant souscrit un abonnement entre le 25 mars 2019 et le 20 janvier 2025)
Membres FiT24 et membres FiT24 Indoor Golf (clients ayant fréquenté l'établissement entre le 30 octobre 2019 et le 20 janvier 2025) 2018 et 1er avril 2023) (Partie des membres)
Informations personnelles collectées : Prénom, prénom Kana, sexe, code postal, adresse, numéro de téléphone, date de naissance, numéro de membre, type d’adhésion, statut de membre, solde de points actuel et date d’expiration, code magasin, date et heure de la dernière transaction, code-barres, préférence de notification push, message du coupon
Nombre d’enregistrements d’informations personnelles : 7 290 087
*Les membres temporaires sont des personnes n’ayant pas encore effectué d’inscription en magasin.
*Les informations personnelles susceptibles d’être divulguées n’incluent pas les pièces d’identité (permis de conduire, etc.) fournies lors de l’inscription, les informations de carte bancaire, l’adresse e-mail ni le mot de passe de l’application.
[Réponse aux personnes concernées]
Nous avons contacté les personnes concernées par courriel ou par courrier postal entre le mercredi 29 janvier 2025 et le jeudi 13 mars 2025.
Veuillez noter que pour celles qui n'ont pas été contactées par ces moyens, le présent communiqué tient lieu de contact.
[Mesures préventives]
Suite à l'enquête menée sur ce sujet, nous avons déjà mis en œuvre les mesures suivantes :
-
Réparation des programmes affectés par l'accès non autorisé
-
Mise en place d'un nouveau logiciel de sécurité et application des correctifs de sécurité
-
Renforcement de la surveillance des accès non autorisés aux sites web et renforcement du blocage en cas de détection
Par ailleurs, nous avons confirmé l'absence d'accès non autorisé sur les serveurs et programmes non affectés et avons mis en place des mesures de sécurité telles que le renforcement des politiques de mots de passe, la prévention et la surveillance des accès externes non autorisés, ainsi que la mise en œuvre de défenses multicouches.
Nous continuerons de collaborer avec des organismes spécialisés externes afin de renforcer davantage nos mesures de sécurité et notre système de surveillance et de tout mettre en œuvre pour éviter toute récidive.
Fin
Mise à jour : 31 janvier 2025, 10 h 00
Correction partielle de l’« Avis concernant l’accès non autorisé et la possible fuite de renseignements personnels »
L’avis du 28 janvier 2025 contenait une erreur dans la description des personnes concernées. Nous la corrigeons donc comme suit.
Veuillez noter qu’aucune correction n’est apportée au nombre de renseignements personnels potentiellement divulgués ni aux autres renseignements précédemment annoncés.
Note
[Personnes potentiellement concernées par la fuite de données et informations personnelles]
Avant correction
Personnes concernées : Membres du Kaikatsu CLUB (certaines personnes ayant adhéré entre le 1er octobre 2015 et le 20 janvier 2025)
Après correction (partie soulignée)
Personnes concernées : Membres du Kaikatsu CLUB (certaines personnes ayant visité notre magasin entre le 1er octobre 2015 et le 20 janvier 2025)
*Une visite en magasin désigne toute personne ayant visité notre magasin et effectué un achat durant la période spécifiée.
*Aucune correction n'est prévue pour les membres provisoires du Kaikatsu CLUB, les membres F1T24 et les membres F1T24 Indoor Golf.
À ce jour, nous n'avons confirmé aucune fuite de données personnelles liée à cette affaire, ni aucun dommage indirect qui en aurait résulté.
Nous poursuivons notre enquête et mettons tout en œuvre pour éviter que cela ne se reproduise.
Fin
À 10h30, le 28 janvier 2025
À qui de droit
Nous présentons nos sincères excuses à nos clients et aux autres parties prenantes pour les inquiétudes causées par l'accès non autorisé à notre serveur depuis une source externe, que nous avons annoncé le 21 janvier 2025, et la possible fuite de données personnelles de certains de nos clients.
Nous poursuivons actuellement notre enquête et les mesures prises. De nouveaux éléments nécessitent une communication plus approfondie. À ce jour, nous n'avons confirmé aucune fuite de données personnelles liée à cet incident, ni aucun dommage indirect résultant de cette fuite.
Note
[Informations personnelles potentiellement divulguées]
Personnes concernées : Membres du Kaikatsu CLUB (certains membres ayant adhéré entre le 1er octobre 2015 et le 20 janvier 2025)
Membres provisoires du Kaikatsu CLUB (certains membres ayant adhéré entre le 25 mars 2019 et le 20 janvier 2025)
Membres FiT24 et membres FiT24 Indoor Golf (certains membres ayant adhéré entre le 30 octobre 2018 et le 1er avril 2023)
Informations personnelles : Prénom, prénom (en kana), sexe, code postal, adresse, numéro de téléphone, date de naissance, numéro de membre, type d’adhésion, statut de membre, solde de points le plus récent et date d’expiration, code du magasin, date et heure de la dernière transaction, code-barres, préférence de notification push, message du coupon
Nombre d’éléments d’information personnelle : 7 290 087
*Les éléments soulignés indiquent les ajouts par rapport à l’annonce précédente.
*Les membres temporaires sont ceux qui ne se sont pas inscrits en magasin.
*Les informations personnelles susceptibles d'être divulguées n'incluent pas les pièces d'identité (permis de conduire, etc.) fournies lors de l'inscription, les informations de carte bancaire, l'adresse e-mail ni le mot de passe de l'application.
*Pour les membres FiT24 et FiT24 Indoor Golf, les membres ayant adhéré pendant la période concernée ont été automatiquement inscrits comme membres Kaikatsu CLUB. Seuls certains membres ayant adhéré pendant cette période sont donc concernés.
*Ceci ne concerne pas les membres Côte d'Azur ni les membres provisoires Côte d'Azur.
[Réponse aux personnes concernées]
Nous contacterons les personnes concernées par e-mail, courrier, etc., en temps voulu.
[Notre réponse]
Nous avons signalé ces informations à la Commission nationale de l'informatique et des libertés (CNIL) aujourd'hui. De plus, si d'autres informations nécessitent une divulgation ultérieurement, nous les publierons sans délai sur notre site web.
Nous poursuivons notre enquête et mettrons tout en œuvre pour éviter que cela ne se reproduise.
Fin
Le 21 janvier 2025 à 18h10
À qui de droit
Nous avons constaté que notre serveur a fait l'objet d'un accès non autorisé provenant d'une source externe, ce qui a potentiellement entraîné la fuite de certaines informations personnelles de nos clients. Nous présentons nos sincères excuses pour les désagréments et les inquiétudes que cela a pu causer à nos clients et autres parties prenantes.
Détails de cet incident :
Note
[Contexte]
Dans la soirée du samedi 18 janvier 2025, nous avons détecté un accès non autorisé à notre serveur et avons immédiatement pris les mesures nécessaires, notamment la déconnexion du serveur du réseau. Par la suite, lors de l'analyse de l'impact de l'incident avec l'aide d'un organisme tiers (expert en sécurité externe), nous avons constaté des preuves d'un accès non autorisé au système de gestion des comptes membres et découvert que certaines informations personnelles ont potentiellement été divulguées.
[Fuite potentielle d'informations personnelles]
Noms, sexe, adresse, numéro de téléphone, date de naissance et numéro de membre des membres et membres provisoires du Kaikatsu Club.
*Aucune information personnelle des membres ou membres provisoires de Côte d'Azur n'a été divulguée à des tiers.
Veuillez noter que les informations personnelles fournies lors de l'inscription (permis de conduire, etc.), les informations de carte bancaire et l'adresse e-mail ne sont pas concernées par la fuite potentielle, car elles sont stockées sur un serveur différent de celui qui a été consulté. Le nombre total de données personnelles affectées fait actuellement l'objet d'une enquête.
[Notre réponse]
Dès que nous avons eu connaissance de cet incident, nous avons collaboré avec notre société mère, AOKI Holdings, Inc., afin de prendre des mesures pour en limiter l'impact en renforçant nos méthodes de blocage des communications non autorisées. Nous avons également mis en place une cellule de crise, consulté la police et transmis les rapports nécessaires à la Commission nationale de l'informatique et des libertés (CNIL). Nous poursuivons notre enquête afin d'en déterminer la cause et d'en évaluer pleinement l'étendue.
Nous vous tiendrons informés dès que nous aurons de nouvelles informations.
Nous prenons cet incident très au sérieux et mettrons tout en œuvre pour éviter qu'il ne se reproduise, notamment en améliorant notre système de sécurité et en renforçant notre système de surveillance réseau.
[Concernant les coupons de l'application Kaikatsu]
La date d'expiration du coupon de 300 points distribué le 17 janvier est prolongée du 24 janvier à 23h59 au 28 février à 23h59.
Fin
À 13h00, le 20 janvier 2025
Nous confirmons que Kaikatsu CLUB, l'espace de partage géré par notre société, subit actuellement des perturbations de réseau suite à une attaque DDoS. Par conséquent, les fonctionnalités de l'application Kaikatsu CLUB sont limitées à l'affichage des cartes de membre.
Nous enquêtons actuellement sur le mode opératoire de l'attaque et prenons des mesures correctives. Nous vous tiendrons informés dès que la situation s'améliorera.
Application concernée : Kaikatsu CLUB
Cause : Surcharge du réseau suite à une attaque DDoS
Nous vous prions de nous excuser pour la gêne occasionnée.
Fin