Il colosso giapponese delle telecomunicazioni KDDI ha reso noto un incidente di sicurezza che ha coinvolto la piattaforma email gestita per conto proprio e di altri cinque provider internet del Paese. Secondo la stima massima fornita dall'azienda, l'episodio potrebbe aver interessato fino a 14,22 milioni di account, con una possibile esposizione di indirizzi email e password.
Cosa è successo
Secondo quanto comunicato da KDDI, l'intrusione è stata rilevata il 17 giugno 2026 e contenuta nello stesso giorno mediante modifiche al sistema interessato e l'adozione di ulteriori misure di sicurezza. Le indagini interne hanno stabilito che gli attaccanti hanno sfruttato una vulnerabilità presente in un software di terze parti integrato nell'infrastruttura email condivisa.
I sistemi coinvolti forniscono il servizio di posta elettronica non solo a KDDI, ma anche a cinque provider partner: STNet, JCOM, Chubu Telecommunications, NIFTY e BIGLOBE. La condivisione della stessa infrastruttura ha fatto sì che un singolo punto di compromissione potesse interessare contemporaneamente più operatori.
Quali dati potrebbero essere stati esposti
Secondo KDDI, tra le informazioni potenzialmente coinvolte figurano indirizzi email e password degli account. L'azienda non ha però reso pubblici dettagli tecnici sulle modalità di memorizzazione o protezione delle password eventualmente interessate, né ha precisato quanti account siano stati effettivamente compromessi.
Il numero di 14,22 milioni rappresenta il totale massimo di account potenzialmente interessati dall'incidente e comprende anche utenze non più attive. Sono tuttora in corso verifiche per determinare l'effettiva portata della violazione.
Nel caso in cui alcune credenziali fossero state effettivamente sottratte, uno dei rischi principali è il cosiddetto credential stuffing: gli attaccanti tentano di riutilizzare le stesse combinazioni di email e password su altri servizi, facendo leva sull'abitudine di molti utenti a riutilizzare le medesime credenziali.
Perché l'incidente è rilevante
KDDI è uno dei principali operatori di telecomunicazioni del Giappone e gestisce servizi utilizzati da milioni di utenti. L'incidente evidenzia un problema comune a molte infrastrutture IT moderne: quando un unico fornitore eroga un servizio critico per più organizzazioni, una vulnerabilità può avere effetti che si estendono contemporaneamente a più basi clienti.
La gestione dell'incidente
L'azienda ha dichiarato di aver notificato l'accaduto alla Personal Information Protection Commission (PPC) e al Ministero degli Affari Interni e delle Comunicazioni del Giappone nello stesso giorno in cui l'intrusione è stata rilevata. KDDI ha inoltre avviato il coordinamento con i provider coinvolti per gestire le attività di risposta all'incidente e le comunicazioni agli utenti interessati.
Cosa fare se si è clienti dei servizi coinvolti
In attesa di eventuali comunicazioni individuali da parte del proprio provider, è consigliabile adottare alcune misure di precauzione:
-
cambiare la password dell'account email interessato, soprattutto se la stessa password è utilizzata anche su altri servizi;
-
verificare ed eventualmente sostituire le credenziali riutilizzate su account bancari, social network, servizi cloud o altri siti;
-
attivare l'autenticazione a due fattori (2FA), preferibilmente tramite un'app di autenticazione quando disponibile;
-
prestare particolare attenzione a possibili email di phishing che potrebbero sfruttare il contesto della violazione;
-
seguire esclusivamente gli aggiornamenti pubblicati dai canali ufficiali del proprio provider, evitando di cliccare su link contenuti in email non verificate.
Fonti: comunicato ufficiale KDDI, BleepingComputer, TechRadar Pro, Security Affairs.