周二,韩国政府要求Coupang紧急堵上安全漏洞,此前一项政府调查将一起重大数据泄露事件与该公司用户身份验证系统的故障联系起来。
Coupang遭遇了韩国最严重的数据泄露事件之一,华盛顿官员对美国科技公司在韩国的待遇表示担忧,这加剧了与美国的贸易摩擦。
如今,这些调查结果给这家电商巨头带来了新的压力,监管机构正在仔细审查其个人数据的保护和报告方式。与此同时,警方和国家数据监管机构也仍在继续对此事进行调查。
探测器识别身份验证失败
韩国科技信息通信部于2025年1月初表示,有人试图利用Coupang系统身份验证相关的可用性漏洞,非法入侵其系统。调查人员指出,此事发生在任何公开披露的安全漏洞事件之前。
该部表示:“攻击者利用用户身份验证漏洞,在没有正确登录的情况下访问用户帐户,导致大规模未经授权的信息泄露。”
他们已经确定,该个人通过利用身份验证过程中的漏洞,未经授权访问了用户的帐户,导致约 3370 万客户的机密信息泄露。
该部门认定,此次数据泄露是由于一名内部员工滥用其安全签名密钥生成伪造的身份验证令牌所致,该员工已于 2024 年 11 月离职。
声明称,该员工设计并开发了 Coupang 用户验证的部分功能,但该公司未能提供足够的保护措施,防止该员工获取这些客户的机密账户数据。
该部表示:“伪造或篡改电子门禁卡的验证系统不足,难以提前发现或阻止攻击。”
2025年12月,Coupang确认将对近期用户数据泄露事件中受影响的客户进行补偿,承诺提供超过11.7亿美元的代金券。该公司强调,此次泄露事件仅影响客户姓名、电子邮件地址、部分订单记录和家庭住址,不涉及支付和登录信息。
监管机构要求Coupang系统升级
当局已责令 Coupang 实施先进技术,以便检测和阻止通过标准发行流程之外收到的电子门禁卡。
“内政安全部已指示 Coupang 公司安装检测和屏蔽工具,以检测和屏蔽那些并非通过正常发放程序发放的电子门禁卡,”该部表示。
警方和个人资料管理机构已就这起指控事件展开独立调查。
内政部还指控Coupang违反了信息网络法,未在规定的24小时内报告该事件。监管机构称,该公司早在11月17日就知晓入侵事件,但直到11月19日才进行报告。
目前,该部门正在决定是否处以最高3000万韩元(约合20596美元)的行政罚款。该部门已将数据销毁指控移交相关部门进行审查。Coupang尚未就调查结果发表任何公开声明。
