L’opérateur de télécommunications japonais KDDI a révélé une importante fuite de données pouvant affecter jusqu’à 14,22 millions de comptes email chez six fournisseurs d’accès Internet, ce qui en fait l’un des plus grands incidents de cybersécurité au Japon cette année.
KDDI a indiqué avoir détecté un accès non autorisé à son système de messagerie géré le 17 juin 2026 et avoir contenu l’intrusion le même jour. La fuite n’a pas été découverte par un signalement externe : la propre surveillance de sécurité de KDDI a identifié l’activité suspecte et bloqué tout accès ultérieur.
L’attaquant a exploité des vulnérabilités dans un logiciel tiers intégré à la plateforme de messagerie, selon l’enquête de KDDI. Cela a permis à l’acteur malveillant d’accéder aux identifiants liés aux boîtes aux lettres des utilisateurs chez les fournisseurs qui dépendent de l’infrastructure de KDDI.
Les six FAI concernés sont STNet, KDDI Web Communications, JCOM, Chubu Telecommunications, Nifty Corporation et BIGLOBE. Les services impactés incluent Pikara Hikari, J:COM NET, Commufa Hikari, @nifty Mail et BIGLOBE Mail, entre autres.
Les données exposées comprennent les adresses email et les mots de passe. KDDI a précisé que les mots de passe étaient hachés et cryptés, limitant le risque immédiat de compromission directe des comptes, mais a noté que le phishing et l’usurpation d’identité restent préoccupants. Le contenu des emails peut également avoir été consulté.
KDDI a signalé l’incident à la Commission japonaise de protection des données personnelles et au ministère des Affaires intérieures et des Communications. La société a exhorté les utilisateurs concernés à changer immédiatement leurs mots de passe et coordonne avec les six FAI les notifications aux clients et les réinitialisations de mots de passe.
Cette fuite s’inscrit dans une tendance de cyberattaques ciblant les infrastructures partagées dans le secteur des télécommunications. Les chercheurs en sécurité ont noté que les compromissions de plateformes logicielles tierces peuvent amplifier l’impact d’une seule vulnérabilité chez plusieurs fournisseurs en aval.
KDDI a déclaré avoir renforcé ses défenses et mis en œuvre des mesures de protection supplémentaires après avoir identifié le point d’entrée utilisé par l’attaquant. L’identité de l’acteur malveillant reste inconnue et les enquêtes se poursuivent.
Sources: Data breach exposes up to 14.2 million email logins at six ISPs (BleepingComputer, 28 juin 2026); KDDI Data Breach Impacts up to 14.2 Million Email Accounts at Six ISPs (Security Affairs, 28 juin 2026)
Traduit par Lydie