📰 Source : BleepingComputer — Date de publication : 28 juin 2026

Contexte

KDDI Corporation, l’un des plus grands opérateurs télécom japonais (45 000 employés, 32,4 milliards USD de revenus annuels), a divulgué une violation de données affectant un système email centralisé utilisé par cinq fournisseurs d’accès à Internet (FAI) partenaires.

Déroulement de l’incident

  • La compromission a été découverte le 17 juin par KDDI.
  • Les attaquants ont exploité une vulnérabilité dans un logiciel tiers non nommé déployé sur le système KDDI.
  • KDDI a immédiatement bloqué l’accès non autorisé et mis en place des mesures défensives.
  • Les autorités compétentes ont été notifiées : Personal Information Protection Commission et Ministry of Internal Affairs and Communications.

Périmètre d’impact

Les cinq FAI affectés sont :

  • STNet, Inc.
  • JCOM Co., Ltd.
  • Chubu Telecommunications C., Inc.
  • NIFTY Corporation
  • BIGLOBE Inc.

⚠️ Jusqu’à 14,22 millions de comptes (clients actuels, anciens clients et comptes inactifs) pourraient avoir été exposés, incluant adresses email et mots de passe.

Facteurs atténuants

  • Une partie des mots de passe était stockée sous forme hachée et/ou chiffrée.
  • KDDI n’a pas précisé le type de chiffrement utilisé ni la proportion de mots de passe stockés en clair.

Nature de l’article

Article de presse spécialisée rapportant une annonce d’incident officielle de KDDI, visant à informer sur l’étendue de la violation et les mesures prises.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1589.002 — Gather Victim Identity Information: Email Addresses (Reconnaissance)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 2772 chars — texte partiel (10pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ⬜ date RSS ou approximée (0pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/data-breach-exposes-up-to-142-million-email-logins-at-six-isps/