Утечка данных в KDDI: 14,2 миллиона скомпрометированных аккаунтов из-за уязвимости в общей инфраструктуре шести провайдеров

Японский телекоммуникационный гигант KDDI Corporation сообщил 23 июня, что злоумышленники воспользовались уязвимостью в неназванном стороннем программном обеспечении для взлома общей платформы электронной почты, которую компания обслуживает от имени шести интернет-провайдеров. Это потенциально раскрыло учетные данные для входа до 14,22 миллиона клиентов — один из крупнейших случаев утечки учетных данных электронной почты в истории Японии и прямое следствие архитектуры общей инфраструктуры, которая позволила единому программному сбою одновременно затронуть базы данных клиентов шести разных интернет-провайдеров.

Атака была обнаружена 17 июня 2026 года. KDDI заявляет, что заблокировала злоумышленника и в тот же день уведомила Комиссию по защите личной информации Японии и Министерство внутренних дел и коммуникаций.

Что произошло: сбой стороннего ПО в общей почтовой системе

Взлом не был результатом фишинга, инсайдерской угрозы или вредоносного ПО. Согласно публичному заявлению KDDI, злоумышленники использовали уязвимость в неназванном стороннем программном обеспечении, встроенном в общую почтовую инфраструктуру, которую компания обслуживает для своих партнеров-интернет-провайдеров. Исследователи безопасности сопоставили технику атаки с MITRE ATT&CK T1190 — Exploit Public-Facing Application (Эксплуатация общедоступного приложения) — категорией, в которой атакующие напрямую используют слабость в общедоступном программном обеспечении, а не обманывают пользователей или сотрудников.

KDDI не назвала уязвимое программное обеспечение, не уточнила, было ли это уязвимостью нулевого дня, и не объяснила, почему ПО с неисправленной уязвимостью работало на платформе, обслуживающей миллионы пользователей.

Шесть затронутых интернет-провайдеров: STNet, Inc.; KDDI Web Communications; JCOM Co., Ltd.; Chubu Telecommunications Co., Inc.; NIFTY Corporation; и BIGLOBE Inc. В число затронутых почтовых сервисов входят Pikara Hikari, Pikara Mobile, Oshigoto Pikara, CPI rental server email, J:COM NET, Commufa Hikari, Business Commufa, @nifty Mail и BIGLOBE Mail.

Цифра в 14,22 миллиона — это максимальный потенциальный объем утечки среди всех шести интернет-провайдеров, включая текущих, бывших и неактивных подписчиков. Расследование KDDI продолжается, и фактическое количество взломанных учетных записей может быть меньше.

Одна уязвимость, шесть интернет-провайдеров: почему общая инфраструктура умножает ущерб от взлома

Масштаб этого инцидента не случаен — он структурный. KDDI управляет централизованной почтовой платформой, которую используют в качестве общей серверной части несколько дочерних компаний и партнеров-интернет-провайдеров. Такая консолидация создает операционную и экономическую эффективность, но также означает, что одна уязвимость в любом компоненте этого общего уровня немедленно становится проблемой для каждого арендатора. Когда злоумышленники обнаружили и использовали уязвимость стороннего ПО на платформе KDDI, им не нужно было взламывать шесть отдельных интернет-провайдеров по отдельности — общая архитектура предоставила им доступ ко всем шести одновременно.

Исследователи безопасности задокументировали эту схему в ходе других крупномасштабных взломов — атака на Kaseya в 2021 году и взлом MOVEit в 2023 году следовали одной и той же логике: скомпрометировать одну общую платформу и получить доступ ко всем организациям, которые от нее зависят. Инцидент с KDDI применяет эту модель атаки на цепочку поставок к инфраструктуре интернет-провайдеров операторского уровня в Японии.

Масштаб также поднимает более широкий вопрос, который не затрагивается в заявлении KDDI: другие крупные японские телекоммуникационные конгломераты — включая NTT и SoftBank — используют аналогичные архитектуры общей серверной части для своих дочерних компаний-интернет-провайдеров. Если уязвимость стороннего ПО может незаметно масштабировать взлом от одной компании до четырнадцати миллионов учетных записей за одно вторжение, то вопрос для всей отрасли заключается в том, были ли эти другие платформы проверены на наличие того же класса уязвимостей.

Пароли были хешированы — но это может не обеспечить полной защиты

KDDI подтвердила, что некоторые пароли в скомпрометированной системе хранились в хешированном или зашифрованном виде. Хеширование — это практика безопасности, при которой вместо самого пароля хранится зашифрованный отпечаток пароля, что затрудняет прямой захват учетной записи. Однако KDDI не уточнила, какой алгоритм хеширования использовался, какой процент учетных записей хранил пароли в открытом виде, а не в хешированном, или подвержены ли хешированные учетные данные взлому, учитывая задействованный алгоритм.

Предупреждение самой компании недвусмысленно: «сохраняется вероятность того, что адреса электронной почты и пароли клиентов были получены неавторизованными третьими лицами в результате инцидента». Эта вероятность существует независимо от статуса хеширования любой отдельной учетной записи.

Последующий риск, который переживет взлом: подстановка учетных данных

Для пострадавших пользователей немедленный риск заключается не только в несанкционированном доступе к их учетной записи электронной почты интернет-провайдера. Более распространенная опасность — это то, что исследователи безопасности называют подстановкой учетных данных (credential stuffing) — автоматизированной техникой атаки, при которой украденные пары «имя пользователя и пароль» из одного сервиса с высокой скоростью проверяются на формах входа в другие, не связанные сервисы.

Математика подстановки учетных данных проста и опасна. Исследования постоянно показывают, что примерно 81% пользователей повторно используют пароли в двух или более сервисах. При масштабе в 14,22 миллиона учетных данных, даже 0,1% успешности — общепринятый нижний предел — приведет к более чем 14 000 захватам учетных записей на банковских порталах, платформах электронной коммерции и в социальных сетях. При 2% успешности эта цифра возрастает почти до 285 000 успешных угонов учетных записей.

Электронная почта интернет-провайдера также часто используется в качестве адреса для восстановления пароля для других сервисов, а это означает, что злоумышленники, получившие к ней доступ, могут сбросить учетные данные для банковских, торговых и медицинских счетов даже без прямой подстановки учетных данных.

Что делать пострадавшим пользователям сейчас

KDDI и пострадавшие интернет-провайдеры настоятельно призывают всех клиентов шести сервисов принять немедленные меры. Расследование продолжается, и личные уведомления могут отставать от фактического окна утечки.

Немедленно смените пароль электронной почты, даже если вы еще не получили уведомление. Это относится к активным учетным записям и к любым учетным записям на вышеупомянутых сервисах интернет-провайдеров, которые вы, возможно, имели ранее, но не использовали активно.

Включите двухфакторную аутентификацию в своей учетной записи электронной почты везде, где это возможно. Это добавляет второй уровень защиты, который сохраняется, даже если пароль скомпрометирован.

Проверьте каждую другую учетную запись, которая использует тот же пароль, что и ваша электронная почта интернет-провайдера. Сначала смените эти пароли, прежде чем злоумышленники попытаются повторно использовать украденные учетные данные.

Остерегайтесь фишинговых писем, ссылающихся на этот взлом. Злоумышленники регулярно рассылают сообщения с выдачей себя за KDDI или пострадавших интернет-провайдеров в дни и недели после раскрытия учетных данных, используя раскрытые адреса электронной почты для создания целенаправленных приманок. Проверяйте официальные уведомления непосредственно на веб-сайте вашего интернет-провайдера, а не переходя по ссылкам в электронных письмах.

Используйте менеджер паролей для создания уникальных, случайных паролей для каждого сервиса в будущем. Повторное использование паролей является основным механизмом, который превращает единичный взлом интернет-провайдера в кампанию по захвату учетных записей на нескольких платформах.

Как это соотносится с прошлыми инцидентами KDDI?

KDDI уже сталкивалась со значительной утечкой данных. В 2006 году инцидент привел к утечке личных данных около 4 миллионов клиентов интернет-сервиса Dion компании, включая имена, адреса, номера телефонов и адреса электронной почты. Взлом 2026 года значительно больше по объему — до 14,22 миллиона записей — и категорически серьезнее, поскольку это первый взлом KDDI, включающий пароли наряду с адресами электронной почты. Утечка имени и адреса создает риск спама и фишинга; утечка учетных данных создает прямой риск доступа к учетной записи и последующую угрозу подстановки учетных данных, описанную выше.

Более широкий ландшафт кибербезопасности Японии дает важный контекст. Согласно данным Tokyo Shoko Research, в 2025 году зарегистрированные японские компании и их дочерние предприятия сообщили о 180 инцидентах утечки личных данных, затронувших около 30,6 миллиона человек. Более 60% этих случаев включали несанкционированный доступ или заражение вредоносным ПО. Взлом KDDI пополняет эту тенденцию, а объем утечки сам по себе составляет почти половину от общего числа пострадавших во всех зарегистрированных взломах в 2025 году.

Регуляторные обязательства: что требует закон Японии о конфиденциальности

Взлом влечет за собой обязательства в соответствии с Законом Японии о защите личной информации (APPI) с поправками 2022 года. Согласно обновленному APPI, инциденты, связанные с кибератаками, требуют предварительного уведомления Комиссии по защите личной информации «незамедлительно» — что обычно интерпретируется как в течение трех-пяти дней с момента обнаружения — и окончательного отчета в течение 60 дней.

KDDI заявляет, что уведомила PPC и Министерство внутренних дел и коммуникаций 17 июня, в тот же день, когда обнаружила взлом, что, по-видимому, удовлетворяет требованию предварительного уведомления. Срок окончательного отчета в 60 дней наступает в середине августа 2026 года; этот отчет должен будет подтвердить общее количество пострадавших лиц, коренную причину взлома и полный объем предпринятых мер по исправлению ситуации.

Несоблюдение японского APPI может повлечь за собой штрафы до 100 миллионов иен (около 700 000 долларов США) и, в серьезных случаях, уголовное преследование.

Часто задаваемые вопросы

Затронут ли меня, если я пользуюсь электронной почтой NIFTY, BIGLOBE, J:COM, Commufa, STNet или KDDI Web Communications?

Возможно. KDDI подтвердила, что до 14,22 миллиона адресов электронной почты и паролей могли быть скомпрометированы во всех шести почтовых сервисах интернет-провайдеров. Эта цифра включает текущие, бывшие и неактивные учетные записи. Даже если вы отменили свою учетную запись у одного из этих провайдеров много лет назад, ваши учетные данные все равно могли находиться в затронутой базе данных. Считайте, что вы, вероятно, пострадали, и немедленно смените пароль, не дожидаясь прямого уведомления.

Как злоумышленники проникли в систему электронной почты KDDI, не прибегая к фишингу?

Злоумышленник использовал уязвимость в неназванном стороннем программном обеспечении, встроенном в общую почтовую инфраструктуру KDDI, — прямая эксплуатация программного сбоя в общедоступном приложении, а не социальная инженерия. Эта техника, классифицируемая как MITRE ATT&CK T1190, не требует сотрудничества со стороны сотрудников или пользователей. Злоумышленник обнаружил слабость в ПО и использовал ее для получения несанкционированного доступа к серверной части. KDDI не раскрыла, что это было за ПО, было ли для уязвимости доступно исправление или как долго она присутствовала до атаки.

Почему взлом одной компании затронул сразу шесть интернет-провайдеров?

Потому что KDDI управляет общей почтовой серверной частью, от которой зависят все шесть интернет-провайдеров. Когда злоумышленники скомпрометировали компонент этой общей платформы, они одновременно получили доступ к данным учетных записей всех шести арендаторов. Это определяющий риск централизованных моделей общей инфраструктуры: единая точка отказа в общем слое умножает ущерб на каждую организацию, которая от него зависит. Клиенты этих интернет-провайдеров не могли знать, что их данные электронной почты управляются на общей платформе, и никакие действия, которые они могли предпринять, не изменили бы их подверженность риску.

Что такое подстановка учетных данных и почему это важно в данном случае?

Подстановка учетных данных — это автоматизированная атака, при которой украденные пары «имя пользователя и пароль» из одного сервиса в большом объеме проверяются на страницах входа других сервисов — банковских сайтов, платформ электронной коммерции, социальных сетей и медицинских порталов. Это работает потому, что значительная часть пользователей повторно использует пароли в разных сервисах. При потенциально 14,22 миллионах учетных данных в обращении даже низкий порог задокументированных показателей успешности подстановки учетных данных приведет к десяткам тысяч скомпрометированных учетных записей на платформах, совершенно не связанных с первоначальным взломом KDDI. Смена паролей на всех учетных записях, которые использовали те же учетные данные, что и ваша почта интернет-провайдера, является единственной эффективной мерой противодействия.