.
O governo do Japão ordenou que os gigantes da tecnologia locais LINE e NAVER desembaraçassem suas pilhas de tecnologia, depois que uma violação de dados expôs mais de 510.000 dados de usuários.
LINE é um aplicativo de mensagens criado por uma ramificação do NAVER da Coreia do Sul – um gigante da web semelhante ao Google. O aplicativo LINE é amplamente utilizado em toda a Ásia – no Japão e na Tailândia é usado pela maioria da população e desfruta do tipo de onipresença que o WhatsApp possui em outras nações. Em 2021, LINE se fundiu com o Yahoo! Japão, que é propriedade do SoftBank. NAVER e SoftBank surgiram como meio-proprietários de uma entidade que opera o LINE.
Em 2023, porém, o LINE vazou. E na terça-feira, o Ministério de Assuntos Internos e Comunicações do Japão emitiu orientações administrativas sobre como evitar uma confusão semelhante no futuro.
A orientação do Ministério descreve complicações profundas entre a tecnologia LINE e NAVER. A nuvem do NAVER tem “amplo acesso” ao ambiente do LINE, facilitando o acesso aos dados armazenados nos sistemas legados do aplicativo de mensagens usando a rede do NAVER.
A orientação também revela como os serviços de autenticação foram compartilhados – uma decisão que se tornou problemática porque os detalhes dos ex-funcionários do LINE foram armazenados em um Active Directory compartilhado. Alguns desses ex-funcionários foram posteriormente contratados pela LINE, e foi o acesso não autorizado a essas credenciais – via NAVER Cloud – que levou à violação de dados. O NAVER não detectou a intrusão, então o LINE não sabia que estava em risco.
O documento inclui extensas críticas às práticas e governança de segurança da informação tanto no LINE quanto no NAVER, e pede uma revisão abrangente de ambos – e relatórios trimestrais ao Ministério sobre o progresso.
Outro requisito é que o LINE separe sua tecnologia do NAVER e mantenha apenas links essenciais mínimos. O Ministério também quer que os dois serviços implementem as suas próprias ferramentas de autenticação – o Active Directory partilhado deve desaparecer e as credenciais dos utilizadores do LINE não devem ser armazenadas na infra-estrutura NAVER.
Também é necessária maior atenção ao impacto dos empreiteiros na segurança da informação.
Após a tradução automática do japonês, o documento contém muitas referências a mudanças “drásticas” exigidas no LINE e à provável falta de confiabilidade do NAVER como parceiro nesses empreendimentos.
LINE aceitou as recomendações. NAVER prometeu ajudar. E, por sua vez, o SoftBank disse que tomou nota do incidente e da orientação do Ministério, e considerará sua aplicação em todo o grupo – que abrange telecomunicações no Japão, Yahoo!e uma participação majoritária na Arm, designer de chips do Reino Unido, entre muitos outros ativos.
O que deixa o LINE com um projeto muito complexo para conduzir, sob constante escrutínio, e os clientes do NAVER Cloud talvez um pouco preocupados com o que mais ele pode estar fazendo de errado. ®
.
