韓國有關部門周二表示,電商巨頭Coupang必須修復其安全系統中的漏洞,官方認為正是這些漏洞導致了該公司大規模數據泄露事件。
韓國科學部公布了由政府主導的此次事件的初步調查結果,稱數據泄露系Coupang前工程師所為,此人知曉認證系統存在漏洞。調查記錄顯示,該前員工曾於2025年1月試圖非法訪問系統;而數據泄露事件發生在4月,並一直持續到11月。
在美國上市的Coupang公司旗下的韓國Coupang,遭遇了韓國史上最嚴重的數據泄露事件之一。在美國官員對在美科技企業的待遇表達關切後,這一事件加劇了韓美之間的貿易摩擦。
韓國科學部表示,調查已確認約3370萬名客戶的個人信息遭到泄露。
該部門稱:「攻擊者利用用戶身份認證漏洞,在未正常登入的情況下訪問用戶賬戶,造成了大規模的信息非法泄露。」
該部門指控這名前員工竊取了名為簽名密鑰的內部安全密鑰,並用其生成僞造登入令牌,從而非法訪問客戶賬戶。
通報稱,這名前工程師曾參與設計和開發Coupang部分用戶認證系統,而公司在該員工離職後,既未能檢測到僞造登入行為,也未及時更換籤名密鑰。
科學部指出:「針對僞造或篡改電子訪問憑證的校驗機制存在缺陷,難以提前檢測或攔截攻擊行為。」
「Coupang需要引入一套檢測和攔截系統,防範未通過正常流程簽發的電子訪問憑證。」
警方與韓國個人信息保護機構針對此次數據泄露的獨立調查仍在進行中。
科學部指控Coupang違反信息網絡相關法律,未在規定的24小時內上報數據泄露事件,並表示將依法對其處以最高3000萬韓元(約合20596美元)的行政罰款。通報顯示,Coupang於11月17日下午4點發現數據泄露,直至11月19日晚9點35分才向有關部門上報。
該部門還指控Coupang未遵守為分析泄露原因而下達的數據保全命令,並將此事移交相關部門進一步調查。
記者暫未聯繫到Coupang方面置評。
責任編輯:李肇孚