韩国有关部门周二表示,电商巨头Coupang必须修复其安全系统中的漏洞,官方认为正是这些漏洞导致了该公司大规模数据泄露事件。
韩国科学部公布了由政府主导的此次事件的初步调查结果,称数据泄露系Coupang前工程师所为,此人知晓认证系统存在漏洞。调查记录显示,该前员工曾于2025年1月试图非法访问系统;而数据泄露事件发生在4月,并一直持续到11月。
在美国上市的Coupang公司旗下的韩国Coupang,遭遇了韩国史上最严重的数据泄露事件之一。在美国官员对在美科技企业的待遇表达关切后,这一事件加剧了韩美之间的贸易摩擦。
韩国科学部表示,调查已确认约3370万名客户的个人信息遭到泄露。
该部门称:“攻击者利用用户身份认证漏洞,在未正常登录的情况下访问用户账户,造成了大规模的信息非法泄露。”
该部门指控这名前员工窃取了名为签名密钥的内部安全密钥,并用其生成伪造登录令牌,从而非法访问客户账户。
通报称,这名前工程师曾参与设计和开发Coupang部分用户认证系统,而公司在该员工离职后,既未能检测到伪造登录行为,也未及时更换签名密钥。
科学部指出:“针对伪造或篡改电子访问凭证的校验机制存在缺陷,难以提前检测或拦截攻击行为。”
“Coupang需要引入一套检测和拦截系统,防范未通过正常流程签发的电子访问凭证。”
警方与韩国个人信息保护机构针对此次数据泄露的独立调查仍在进行中。
科学部指控Coupang违反信息网络相关法律,未在规定的24小时内上报数据泄露事件,并表示将依法对其处以最高3000万韩元(约合20596美元)的行政罚款。通报显示,Coupang于11月17日下午4点发现数据泄露,直至11月19日晚9点35分才向有关部门上报。
该部门还指控Coupang未遵守为分析泄露原因而下达的数据保全命令,并将此事移交相关部门进一步调查。
记者暂未联系到Coupang方面置评。
责任编辑:李肇孚