Empresa japonesa de energia perde disco com dados de 10,9 milhões de clientes
Aprofundamento CEVIU
Aprofundamento
A Kyushu Electric Power Co., Inc. perdeu um disco rígido externo com dados de 10,9 milhões de contas de clientes em 26 de maio de 2024. O dispositivo havia sido usado em 27 de abril para um backup de rotina, pois o servidor principal estava com capacidade esgotada. Ele foi armazenado em um armário dentro de uma sala de servidores que, embora protegida por múltiplas camadas de segurança física, foi encontrada destrancada na data da descoberta.
As informações expostas incluem nomes, endereços de instalação, histórico de consumo de energia, números de telefone e nomes dos fornecedores varejistas, mas não há dados bancários ou de cartão de crédito. A empresa entrevistou os 57 funcionários com acesso à sala e registrou boletim de ocorrência na polícia em 4 de junho, sob suspeita de remoção indevida. O Ministério da Economia, Comércio e Indústria do Japão exigiu relatório completo até 8 de julho.
Por que isso importa
Esse caso é um alerta claro sobre falhas em controles operacionais básicos, mesmo em empresas críticas com infraestrutura robusta. A perda não foi causada por invasão cibernética, mas por desvio de procedimentos: uso de mídia removível para backup, armazenamento físico inadequado e falha no controle de acesso à sala de servidores. No Japão, o número de incidentes de vazamento de dados atingiu 19.056 no ano fiscal de 2024, aumento de 57% em relação a 2023, mostrando que a ameaça cresce mais rápido que as práticas de governança de dados.
Impacto para desenvolvedores
Para desenvolvedores e equipes de segurança, esse incidente reforça que políticas de backup devem proibir explicitamente o uso de drives externos não criptografados e sem rastreabilidade. A solução técnica não é só escolher um sistema de storage, mas integrar auditoria de mídia física ao ciclo de vida de dados, desde a geração até a destruição. Em ambientes regulados como o setor elétrico japonês, a ausência de log de acesso físico ao armário já configura violação da Lei de Proteção de Dados Pessoais (APPI), que exige 'medidas técnicas e organizacionais adequadas', não apenas digitais, mas também físicas.
Perguntas frequentes
Quantos clientes foram afetados pela perda do disco da Kyushu Electric Power?
Foram afetadas 10,9 milhões de contas de clientes. A empresa confirmou que os dados incluem nomes, endereços de instalação, histórico de consumo de energia, números de telefone e nomes dos fornecedores varejistas.
O que aconteceu com o disco rígido da Kyushu Electric Power?
O disco foi usado em 27 de abril para um backup de rotina, armazenado em um armário dentro de uma sala de servidores e encontrado destrancado em 26 de maio. Não foi localizado após entrevistas com os 57 funcionários autorizados a acessar a sala. A polícia investiga remoção indevida.
Houve vazamento de dados bancários ou de cartão de crédito na Kyushu Electric Power?
Não. A empresa esclareceu que nenhuma informação bancária, de cartão de crédito ou senha estava armazenada no disco rígido perdido. Os dados comprometidos são limitados a informações cadastrais e de consumo de energia.
Qual é o prazo dado pelo governo japonês para a Kyushu Electric Power apresentar o relatório do incidente?
O Ministério da Economia, Comércio e Indústria do Japão estabeleceu o dia 8 de julho de 2024 como prazo final para entrega do relatório completo sobre o incidente e das medidas preventivas adotadas.
Links relacionados
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 12 de junho de 2026
- Fonte
- CEVIU Segurança da Informação