Vazamento na KDDI atinge 14,22 milhões de credenciais e seis ISPs do Japão após exploração de software de terceiros

A operadora japonesa KDDI confirmou em 23 de junho um incidente que atinge seis provedores de internet do país e expõe até 14,22 milhões de endereços de e-mail e senhas. O ataque, detectado em 17 de junho, explorou uma vulnerabilidade em software de terceiros usado no sistema de e-mail compartilhado pela KDDI com cinco outros ISPs japoneses — mais uma demonstração de como uma única falha em fornecedor concentrado pode multiplicar o impacto em todo um setor.

O que aconteceu

Em comunicado oficial publicado na terça-feira, 23 de junho de 2026, a KDDI Corporation informou que um ator não autorizado acessou ilegalmente o sistema de e-mail que fornece a vários provedores de internet japoneses. A operadora — segunda maior telco do Japão — atua tanto como ISP direto quanto como provedora de infraestrutura de e-mail para outras empresas do setor. Como resultado da invasão, dados ligados a clientes desses serviços podem ter sido extraídos.

Segundo a KDDI, até 14,22 milhões de endereços de e-mail e senhas correspondentes foram potencialmente comprometidos. O conjunto inclui contas de clientes que já cancelaram serviços ou estão inativas há tempo — um lembrete de que dados “esquecidos” continuam vivos no banco do provedor. A intrusão foi detectada em 17 de junho, e a comunicação pública só ocorreu seis dias depois, após contenção inicial e avaliação técnica.

A empresa afirmou ter modificado o sistema “para prevenir novos danos” e implementado contramedidas técnicas nos pontos suspeitos de comprometimento. Também notificou a Comissão de Proteção de Informações Pessoais do Japão e o Ministério dos Assuntos Internos e Comunicações, e está cooperando com os cinco ISPs parceiros para distribuir informação e medidas de resposta.

Como o ataque funcionou

A KDDI atribuiu o incidente à exploração de uma vulnerabilidade em software de terceiros utilizado no sistema de e-mail. A empresa não nomeou o produto, mas a arquitetura típica desse tipo de plataforma envolve algum mix de servidores IMAP/SMTP, webmail e camadas de antispam — todas dependentes de bibliotecas externas. O detalhe relevante é que o sistema funciona em modelo multi-tenant: a falha não afeta apenas a base de clientes da KDDI, mas também a dos cinco ISPs que terceirizam a operação de e-mail para a operadora.

A combinação “vulnerabilidade em fornecedor + infraestrutura compartilhada” é o pesadelo recorrente do setor de telecom. Casos semelhantes envolveram, nos últimos anos, plataformas como o Accellion FTA (2021), MOVEit Transfer (2023) e GoAnywhere MFT (2023), em que uma única CVE explorada em massa atingiu centenas de organizações simultaneamente. A divulgação tardia do nome do software impede, por enquanto, defensores de mitigar a mesma falha em outros ambientes.

“O ator não autorizado obteve acesso ao sistema de e-mail que fornecemos a vários provedores japoneses, e dados ligados a clientes desses serviços podem ter sido extraídos”, informou a KDDI Corporation em comunicado oficial. A empresa “recomenda fortemente” a troca imediata de senhas pelos clientes dos serviços afetados.

Quem é afetado e quais são os riscos

Clientes dos seis ISPs japoneses atendidos pelo serviço de e-mail da KDDI estão potencialmente expostos. O vazamento contém pares de endereço + senha — material direto para ataques de credential stuffing, especialmente porque muitas pessoas reaproveitam credenciais entre serviços. Os principais riscos imediatos são:

• Credential stuffing em massa: os 14,22 milhões de pares podem ser testados em bancos, serviços de governo eletrônico (My Number Portal), e-commerce e plataformas de cripto;
• Compromisso de contas correlatas: e-mails são gateway para recuperação de senha; tomar a caixa significa tomar quase tudo o que está vinculado;
• Spear phishing direcionado: o invasor pode usar o histórico de e-mail e contatos das caixas comprometidas para fraudes BEC (Business Email Compromise);
• Exposição de contas dormentes: a inclusão de contas canceladas ou inativas amplia o universo de vítimas que sequer estão monitorando o serviço.

Análise

O incidente da KDDI ilustra três tendências que defensores no Brasil precisam acompanhar. Primeira, a concentração da infraestrutura de comunicação em poucos fornecedores cria dependências invisíveis: um cliente final pode achar que contratou o ISP X, mas o e-mail roda em sistema da KDDI ou equivalente — situação análoga ao que ocorre quando provedores brasileiros terceirizam e-mail para grandes plataformas. Segunda, o ciclo de vida dos dados continua mal gerenciado: armazenar credenciais de clientes que cancelaram o serviço há anos amplia o passivo desnecessariamente. Terceira, vulnerabilidades em software de terceiros seguem como vetor preferencial — explorá-las uma vez e impactar dezenas de operadoras tem ROI imbatível para o atacante.

Há também o detalhe regulatório: o Japão tem uma agência específica de proteção de dados (PPC) que tende a investigar vazamentos dessa magnitude, com sanções e exigências de plano corretivo. No Brasil, situação equivalente acionaria a ANPD sob o regime da LGPD — e o fato de a KDDI ter notificado autoridades em poucos dias é uma boa referência de cadência.

Recomendações práticas

• Para usuários dos serviços afetados: troque a senha imediatamente e habilite MFA onde possível; assuma que outras contas com a mesma senha também estão comprometidas;
• Cheque o haveibeenpwned.com nas próximas semanas — o conjunto deve aparecer em breve para verificação;
• Para empresas, monitore credential stuffing nos próprios serviços com regras de rate limiting, fingerprint de dispositivo e detecção de impossible travel;
• Adote secrets hashing moderno (bcrypt, scrypt, argon2id) — armazenar senhas reversíveis ou com SHA-1/MD5 amplifica o impacto de qualquer breach;
• Implemente políticas de retenção: contas inativas há mais de X meses devem ter senhas zeradas ou contas anonimizadas;
• Inclua “fornecedor compartilhado” na matriz de risco de continuidade — terceirizações de e-mail, autenticação e DNS são pontos únicos de falha;
• Para provedores brasileiros: revise os contratos com fornecedores SaaS de e-mail e exija cláusulas claras de notificação em incidentes (até 72h) e direito à auditoria.

Fonte: Infosecurity Magazine