韓國電商龍頭酷澎(Coupang)爆發十多年來最嚴重個資外泄,已確認逾3370萬名用戶資料遭曝光。韓媒報道稱,該公司懷疑涉案的為一名前中國籍員工,總統李在明今天(12月2日)下令迅速查明與究責,韓國政府也介入釐清是否違反個資保護規定。
被譽為「亞洲亞馬遜」的韓國電商巨頭酷澎(Coupang)近期發生該國十多年來最大規模個資外流,截至周一(12月1日)確認外流的用戶個資已達3370萬名。
韓國警方正在追查犯案的IP位址,並調查電商酷澎可能存在的技術漏洞。
酷澎指出,這起外流事件曝光了顧客的姓名、電子郵件、電話號碼、運送地址及部分訂單紀錄,但不包含付款資訊或登入憑證。
韓國技術情報通信部官員柳濟明周二在國會中接受相關質詢時表示,根據全面分析結果,攻擊的識別期間為6月24日至11月8日。酷澎於11月18日才知悉問題,11月20日向個人資訊保護委員會通報約4500名用戶賬號遭到外流,後於29日再次通報外流個資已達3370萬。
韓國總統李在明周二在國是會議中表示,酷澎長達五個月未發現個資外泄情況「令人震驚」,強調必須迅速查明責任與究責。他並強調,個人資料在人工智能與數碼化時代是關鍵資產,呼籲提高企業的過失罰則,同時下令內閣檢討相關罰款與賠償制度。
首爾警察廳網絡犯罪偵查隊指出,警方在調查過程中發現酷澎部分使用者與客服曾於11月16日、26日與28日先後收到威脅信件,內容稱「已掌握用戶個資,若不加強安全防護措施,將向媒體舉報用戶個資外泄的事實」。
首爾警察廳目前正在確認威脅信件是否皆同一人發送,也尚未確認是否為外流資料的犯案者所為。
韓國JTBC電視台報道指出,調查後,酷澎懷疑一名中國籍離職員工是此次資料外泄的關鍵人物。該員工過去擔任處理用戶驗證與授權的認證業務負責人,然而其在酷澎內部使用的簽章密鑰,並未於離職後停用或更新。韓聯社報道則稱,涉案員工已離開韓國。
警方與酷澎對可能的嫌疑人皆沒有置評。
事發後,韓國各大電商正全面檢查內部監控程式,以防類似事故再次發生。
酷澎代表理事朴大俊(音譯)11月30日出面道歉,表示對此次事件深感自責,承諾將全力查明原因。圖像來源: Yonhap/REUTERS
警方調查是否違反個資保護規定酷澎恐面臨重罰
酷澎擁有大規模的倉儲與物流系統,主打快速的「火箭配送」服務,2025年第三季的活躍顧客約有2470萬用戶。
該起事件也引發台灣用戶關注,但酷澎台灣30日發佈聲明稱,目前沒有證據顯示酷澎台灣的消費者資料外泄,將持續調查此事件,並與頂尖獨立資安公司的專家進行合作。
韓國酷澎代表理事朴大俊(音譯,Park Dae-joon)周日出面道歉,並在聲明中承諾將與政府成立的官民聯合調查工作組合作,防範用戶資訊遭進一步外泄。
韓國技術情報通信部長裴京勛(Bae Kyung-hoon)表示,犯案者「濫用酷澎伺服器中的認證漏洞」,當局將調查該公司是否違反個資保護相關規定。國會議員崔玟姬(Choi Min-hee)周一則聲明批評,簽章密鑰的管理是企業內部最基本資安程序,酷澎卻未嚴格遵守,凸顯其組織管理問題。
韓國總統李在明下令迅速徹查,並呼籲檢討企業罰則與賠償制度。(資料照)圖像來源: ANTHONY WALLACE/Pool via REUTERS
根據韓國2023年新修訂的《個人資訊保護法》,企業若違反相關法律,最高可能被處以銷售額3%的罰款。韓聯社報道,若減去可能不涉及個資外流案的業績,酷澎今年前三季度銷售額約為31萬億韓元,折算年銷售額,酷澎最高可能面臨1.2兆韓元罰款。
截至周一下午,網絡貼文顯示已超過一萬人計劃加入對酷澎的集體訴訟。律師河熙峰(音譯,Ha Hee-bong)表示,集體訴訟可能會要求每人超過10萬韓元(約68美元)的賠償。
不過,摩根大通分析師認為:「由於酷澎在市場中的無可匹敵地位,加上韓國消費者對資料外泄議題相對不敏感,我們預期潛在的顧客流失有限。」然而,分析也指出,酷澎可能提供自願性補償方案,加上韓國政府可能祭出的罰款,都有機會導致「相當可觀的一次性損失」,並在短期內拖累市場。
