Aflac Japan hat den Vorfall am Dienstag bekannt gemacht. In der Meldung an die SEC erklärt der Versicherer, dass die eigenen Systeme am 15. Juni kompromittiert wurden und die Angreifer bis zum 25. Juni mehrfach Zugriff hatten. Entdeckt wurde die Datenschutzverletzung erst an diesem Tag.
Nach der Entdeckung des unrechtmäßigen Zugriffs habe Aflac Japan nach eigenen Angaben umgehend Maßnahmen zur Eindämmung und zur Verhinderung weiterer Eindringversuche eingeleitet. Dazu gehörte auch die Abschaltung bestimmter Systeme. Zugleich betonte der Konzern gegenüber der SEC, dass der Vorfall auf bestimmte Systeme von Aflac Japan beschränkt sei und keine Systeme des US-Geschäfts betreffe.
Laut einem Fragen-und-Antworten-Dokument auf der Website von Aflac Japan wurden Daten aus dem Portal für Versicherungsnehmer exfiltriert. Voraussichtlich betroffen sind etwa 4,38 Millionen Kunden und Vermittler. Welche Informationen im Einzelfall offengelegt wurden, variiert nach Angaben des Unternehmens von Person zu Person; die Betroffenen sollen jeweils ein Schreiben mit den konkreten Details erhalten.
Zu den abgeflossenen personenbezogenen Daten zählen Namen, Adressen, Telefonnummern, Geburtsdaten, Geschlecht, Sicherheitsinformationen und Informationen zu Versicherungskonten. Darüber hinaus wurden laut Aflac Japan auch die Kontoinformationen für den Einzug von Versicherungsprämien von rund 230.000 Personen exfiltriert. Kreditkarteninformationen wurden dem Unternehmen zufolge nicht abgerufen.
Die Folgen des Vorfalls sind nicht auf den Datenabfluss beschränkt. Aflac Japan zufolge sind mindestens fünf Dienste infolge des Angriffs beeinträchtigt. Wann diese betroffenen Services wiederhergestellt werden können, konnte das Unternehmen vorerst nicht abschätzen.
Die Untersuchung des Angriffs läuft nach Angaben von Aflac Japan noch. Das Unternehmen wird dabei von externen Cybersicherheitsexperten unterstützt und hat außerdem die zuständigen Behörden informiert.