KDDI : intrusion dans l’infrastructure de messagerie pour FAI, jusqu’à 14,22 millions de données pourraient avoir fuité
KDDI a annoncé le 23 que son système de messagerie fourni aux fournisseurs d’accès à Internet avait subi un accès non autorisé, avec un risque de fuite portant sur jusqu’à 14,22 millions de données personnelles. Les adresses e-mail et les mots de passe sont concernés, et le contenu des messages aurait également pu être divulgué.
Aperçu des dommages
Six FAI externes concernés
KDDI a expliqué que les systèmes fournis à six fournisseurs d’accès à Internet externes ont été touchés. Les entités concernées sont STNet, KDDI Web Communications, JCOM, Chubu Telecommunications, Nifty et BIGLOBE. Le service de messagerie de KDDI lui-même fonctionne sur une infrastructure distincte et n’a pas été affecté.
Vulnérabilité exploitée
Prise de connaissance le 17, puis correctif
L’entreprise a pris connaissance de la situation le 17 et a procédé à une mise à jour du système pour empêcher l’ampleur des dégâts. Une vulnérabilité d’un logiciel tiers aurait été exploitée. Elle a également identifié des points suspects d’accès non autorisé et mis en place des mesures de protection techniques.
Vérification des adresses e-mail et des mots de passe
Risque d’accès possible aux boîtes aux lettres
À ce stade, des fuites d’adresses e-mail et de mots de passe rattachés aux boîtes aux lettres créées dans le service de messagerie concerné ont été confirmées. Le système semble avoir permis l’accès aux boîtes aux lettres, ce qui fait craindre des consultations illégales des e-mails ou une utilisation abusive des fonctions d’envoi.
Appel aux utilisateurs à mettre à jour
Signalement à la commission et au ministère
Par l’intermédiaire des FAI, KDDI demande aux utilisateurs concernés de modifier leur mot de passe sans délai. L’entreprise a également informé la Commission pour la protection des informations personnelles et le ministère des Affaires intérieures et des Communications, et elle entend accélérer la détermination du périmètre affecté en coopération avec les FAI.
Multiplication des fuites dans les télécoms
180 incidents dans les sociétés cotées
Selon Tokyo Shoko Research, les incidents de fuite ou de perte de données personnelles annoncés en 2025 par des sociétés cotées et leurs filiales ont atteint 180 cas. Le nombre de victimes a presque doublé sur un an, dépassant 30 millions de personnes, et 60 % des causes étaient des accès non autorisés ou des infections virales.
Chez KDDI, un problème de comptabilité frauduleuse lié à des transactions fictives a été découvert en janvier dans une filiale active dans l’agence de publicité en ligne, entraînant la démission du président de la filiale. Le président Hirochi Matsuda a également restitué une partie de sa rémunération mensuelle. Dans le rapport ad hoc publié le 23, le vote de confiance des administrateurs soumis à l’assemblée générale ordinaire du 17 a recueilli 62,34 % de soutien pour la reconduction de Makoto Takahashi à la présidence du conseil d’administration, et 77,67 % pour Hirochi Matsuda, des niveaux nettement inférieurs à ceux de l’an dernier, supérieurs à 90 %.
Si cet article vous a été utile, n’hésitez pas à le partager.