事件定性 - 韩国政府将Coupang大规模数据泄露事件定性为管理问题而非高级网络攻击[1][3] - 韩国科学部副部长指出问题根源在于对认证系统的监管松懈[3] 事件经过与原因 - 一名前Coupang工程师利用其知晓的认证流程漏洞于4月入侵系统 入侵行为持续至11月 该人员曾在1月尝试入侵[2] - 攻击者利用用户认证漏洞 在未正常登录的情况下访问用户账户 导致大规模未授权信息泄露[4] - 该前员工于2024年11月离职 盗取了内部安全密钥(签名密钥) 用于生成虚假登录令牌以未授权访问客户账户[7] - 该员工曾设计开发了Coupang用户认证系统的部分功能 公司未在其离职后立即使其开发者签名密钥失效[8] 泄露规模与内容 - 泄露事件涉及约3370万客户的个人数据 包括姓名和电话号码[4] - 公司声明由前员工编写的软件程序生成了约1.4亿次查询 但无证据表明其他方访问或查看了数据 且数据不包含支付或登录信息[5] - 公司重申从约3000个用户账户保留的数据随后被删除 且无证据表明产生了二次损害[6] 公司应对与政府指控 - 韩国科学部指控Coupang试图通过删除部分数据来“限制”调查 违反了政府保存数据的命令[4] - 公司声明将采取一切必要措施防止进一步损害 并持续加强防护以防复发[5] - 韩国科学部指控Coupang违反信息网络法 未在规定的24小时内报告泄露事件 计划处以最高3000万韩元(约20,596美元)的行政罚款[11] - Coupang于当地时间11月17日下午4点向首席信息安全官报告数据泄露 并于11月19日晚9点35分向当局报告 间隔超过53小时[11] 政府建议与后续调查 - 韩国科学部建议Coupang引入针对未经过正常签发流程的电子访问卡的检测和拦截系统[8] - 警方调查仍在进行中 个人数据监管机构也在调查该事件[10] - 韩国司法部长表示已于12月对一名曾在Coupang工作的中国籍人士发出了逮捕令[9] 事件影响与背景 - 该事件引发了公众和立法者对Coupang Korea的强烈反对[3] - 事件加剧了韩美贸易摩擦 因韩国当局被质疑对这家美国上市公司采取了超出正常监管范围的措施[3] - Coupang在韩国面临税务审计 并且因其创始人和前高管去年未出席国会听证会 该国议会已对其提起法律申诉[10]