KDDI Corporation, una de las tres principales empresas de telecomunicaciones de Japón, informó que detectó un acceso no autorizado a uno de los sistemas de correo electrónico que administra para varios proveedores de servicios de Internet (ISP) en ese país, incidente que podría haber comprometido hasta 14,22 millones de cuentas de correo electrónico y contraseñas. De acuerdo con la empresa, el ataque fue descubierto el pasado 17 de junio. Tras conocer el incidente, la empresa bloqueó la actividad del atacante e implementó medidas técnicas para contener el incidente mientras continúa la investigación.

Según la información publicada por la compañía —solo disponible en idioma japonés—, la intrusión fue posible debido a la explotación de una vulnerabilidad presente en un software de un proveedor externo utilizado por el sistema de correo. KDDI señaló que identificó el punto desde donde se habría producido el acceso no autorizado y modificó la plataforma el mismo día para evitar nuevos incidentes. La empresa también notificó el hecho a la Comisión de Protección de Información Personal de Japón y al Ministerio de Asuntos Internos y Comunicaciones.

El incidente afectó los servicios de correo electrónico proporcionados a seis operadores de Internet: STNet, KDDI Web Communications, JCOM, Chubu Telecommunications, NIFTY y BIGLOBE. La empresa indicó que la cantidad exacta de cuentas comprometidas continúa bajo investigación, aunque el universo potencial alcanza aproximadamente 14,22 millones de registros, incluyendo clientes actuales, antiguos usuarios y cuentas que ya no se encuentran activas.

KDDI advirtió que existe la posibilidad de que direcciones de correo electrónico y contraseñas hayan sido obtenidas por terceros durante el acceso no autorizado. Citando al medio especializado Bleeping Computer, la compañía explicó que «si bien ya se han implementado medidas técnicas de defensa para el sistema, sigue existiendo la posibilidad de que terceros no autorizados hayan obtenido las direcciones de correo electrónico y las contraseñas de los clientes como resultado del incidente”.

La empresa también informó que una parte de las contraseñas se encontraba almacenada utilizando mecanismos de hash o cifrado, aunque no precisó qué proporción de las cuentas utilizaba cada método ni el tipo de cifrado empleado. Paralelamente, KDDI indicó que mantiene coordinación con los operadores afectados para aplicar medidas adicionales destinadas a reducir los riesgos derivados del incidente.

Como parte de la respuesta —citando una traducción del medio Security Affairs—, la compañía solicitó a los usuarios afectados modificar sus credenciales de acceso. En su comunicado señaló que «para garantizar la protección de sus datos y eliminar riesgos futuros y potenciales, deberá cambiar la contraseña de su correo electrónico». Asimismo, recomendó revisar las instrucciones entregadas por cada proveedor de Internet y realizar el cambio de contraseña a la brevedad. Diversos medios especializados también destacaron que, cuando esté disponible, resulta recomendable habilitar mecanismos de autenticación de dos factores como medida adicional de protección para las cuentas de correo.