週二,韓國政府要求Coupang緊急堵上安全漏洞,此前一項政府調查將一起重大數據洩露事件與該公司用戶身份驗證系統的故障聯繫起來。
Coupang遭遇了韓國最嚴重的數據洩露事件之一,華盛頓官員對美國科技公司在韓國的待遇表示擔憂,這加劇了與美國的貿易摩擦。
如今,這些調查結果給這家電商巨頭帶來了新的壓力,監管機構正在仔細審查其個人數據的保護和報告方式。與此同時,警方和國家數據監管機構也仍在繼續對此事進行調查。
探測器識別身份驗證失敗
韓國科技信息通信部於2025年1月初表示,有人試圖利用Coupang系統身份驗證相關的可用性漏洞,非法入侵其系統。調查人員指出,此事發生在任何公開披露的安全漏洞事件之前。
該部表示:“攻擊者利用用戶身份驗證漏洞,在沒有正確登錄的情況下訪問用戶帳戶,導致大規模未經授權的信息洩露。”
他們已經確定,該個人通過利用身份驗證過程中的漏洞,未經授權訪問了用戶的帳戶,導致約 3370 萬客戶的機密信息洩露。
該部門認定,此次數據洩露是由於一名內部員工濫用其安全簽名密鑰生成偽造的身份驗證令牌所致,該員工已於 2024 年 11 月離職。
聲明稱,該員工設計並開發了 Coupang 用戶驗證的部分功能,但該公司未能提供足夠的保護措施,防止該員工獲取這些客戶的機密賬戶數據。
該部表示:“偽造或篡改電子門禁卡的驗證系統不足,難以提前發現或阻止攻擊。”
2025年12月,Coupang確認將對近期用戶數據洩露事件中受影響的客戶進行補償,承諾提供超過11.7億美元的代金券。該公司強調,此次洩露事件僅影響客戶姓名、電子郵件地址、部分訂單記錄和家庭住址,不涉及支付和登錄信息。
監管機構要求Coupang系統升級
當局已責令 Coupang 實施先進技術,以便檢測和阻止通過標準發行流程之外收到的電子門禁卡。
“內政安全部已指示 Coupang 公司安裝檢測和屏蔽工具,以檢測和屏蔽那些並非通過正常發放程序發放的電子門禁卡,”該部表示。
警方和個人資料管理機構已就這起指控事件展開獨立調查。
內政部還指控Coupang違反了信息網絡法,未在規定的24小時內報告該事件。監管機構稱,該公司早在11月17日就知曉入侵事件,但直到11月19日才進行報告。
目前,該部門正在決定是否處以最高3000萬韓元(約合20596美元)的行政罰款。該部門已將數據銷燬指控移交相關部門進行審查。Coupang尚未就調查結果發表任何公開聲明。
