ארכיטקטורת תשתית משותפת חוסכת עלויות — ומרכזת סיכון. כשחברת התקשורת היפנית KDDI הפעילה מערכת דוא"ל אחת עבור שישה ספקי אינטרנט, היא יצרה גם נקודת כשל יחידה: פגיעות בודדת בתוכנת צד-שלישי הגיעה בו-זמנית לשישה בסיסי מידע של לקוחות שונים. KDDI גילתה את החדירה ב- 17/06/2026, חסמה מיד את התוקף והפעילה אמצעי הגנה, אך הזהירה כי ייתכן שעד 14.22 מיליון כתובות דוא"ל וסיסמאות נחשפו — אחת מדליפות האישורים הגדולות בתולדות יפן. בין הספקים המושפעים: NIFTY, BIGLOBE, J:COM ו- STNet.
הסכנה המהותית כאן אינה רק גודל המספר, אלא טיב המידע: שילוב של כתובת וסיסמה הוא בדיוק מה שדרוש כדי להיכנס לתיבת דואר. KDDI ציינה שחלק מהסיסמאות נשמרו בצורה מגובבת (hashed) או מוצפנת, אך לא פירטה איזה אלגוריתם היה בשימוש או איזה אחוז נשמר בטקסט גלוי — פער אשר משאיר את הלקוחות חסרי יכולת להעריך את חשיפתם בפועל. גיבוב חלש (כגון MD5) ניתן לפיצוח בשעות; גיבוב חזק קונה זמן. הסיכון העיקרי הוא מילוי אישורים (credential stuffing): מאחר שרבים משתמשים באותה סיסמה במספר שירותים, צמד שדלף עלול לפתוח חשבונות נוספים. המספר כולל גם חשבונות לא פעילים וסגורים — כך שגם מי שנטש לפני שנים את אחד הספקים שנפגעו עלול להיות חשוף.
המקרה ממחיש מספר סיכונים: ראשית, ניצול אפליקציה פונה לאינטרנט (T1190 במונחי MITRE ATT&CK) — וקטור חדירה נפוץ דרך רכיב תוכנה לא מתוחזק. שנית, ריכוז סיכון בתשתית משותפת, שבו פגיעה בודדת מתפשטת לכל הארגונים שנשענים עליה. שלישית, סיכון רכיב צד שלישי: KDDI לא חשפה את שם התוכנה הפגיעה, פער שקיפות אשר מקשה על הערכת סיכון עצמאית בכל ארגון שמריץ רכיב דומה. רביעית, חשיפת אישורי גישה המזינה תקיפות מילוי אישורים והשתלטות חשבון במורד הזרם.
ספק אבטחת מידע יכול לתת מענה במספר רבדים: ניהול עדכונים ותיקונים (patch management) ובדיקת פגיעויות שוטפת ברכיבים הפונים לאינטרנט, כדי לסגור את וקטור החדירה לפני ניצולו; הערכת אבטחה של רכיבי צד-שלישי וספקי תוכנה לפני שילובם וניטור שלהם לאורך זמן; הקשחת מדיניות סיסמאות והטמעת גיבוב חזק, לצד אכיפת אימות דו-שלבי (2FA) שמנטרל ברובו את ערך הצמד שדלף; ניטור רציף וזיהוי חדירה אשר מקצרים את זמן התגובה (כאן KDDI זיהתה וחסמה באותו יום — תגובה מהירה) ובדיקות סימולציית תקיפה (breach & attack simulation) הבוחנות אם כללי הזיהוי במערכות ה- SIEM/EDR אכן תופסים חדירה כזו. עבור ארגון ישראלי, ספק אבטחת מידע גם יסייע ביישום חובות הדיווח לפי תיקון 13 לחוק הגנת הפרטיות ובבניית מדיניות תגובה לאירוע הכוללת יידוע לקוחות והנחיה לאיפוס סיסמאות.
