（文章来源：新华社） 韩国产业通商部通商交涉本部长吕翰九24日说，韩国政府针对电商巨头酷澎公司数据泄露一事所启动的 调查不存在"区别对待"，不应上升为韩国与美国之间的贸易争端。酷澎公司是韩国最大电商企业，由韩 裔美国人金范锡（音译）创立，总部位于美国西雅图并在美国上市，约90%的营收来自韩国市场。2025 年11月，酷澎公司通报发生客户数据泄露事件，逾3300万名顾客的个人信息外泄，引发舆论哗然及民众 不满，韩国政府随即启动对这一事件的听证与调查。 ...

诉讼案件概述 - 针对Coupang Inc (NYSE: CPNG)的证券集体诉讼正在美国加利福尼亚北区联邦地区法院和华盛顿西区联邦地区法院审理中 [1] - 诉讼指控Coupang及其部分高管在2025年5月7日至2025年12月16日期间未能披露重大信息 违反了联邦证券法 [1][3] - 首席原告申请的截止日期为2026年2月17日 [1] 指控的具体内容 - 公司被指控的虚假和误导性陈述及遗漏包括 其网络安全协议存在不足 导致一名前员工在近六个月内未被发现地访问了敏感客户信息 [4] - 这一情况使公司面临监管和法律审查风险显著增加 [4] - 当被告知悉公司发生数据泄露后 未按照美国证券交易委员会的相关报告规则在当期报告中披露该事件 [4] - 因此 被告的公开陈述在所有重要时间点都存在重大虚假和/或误导性 [4] 相关案件与律所信息 - 首起案件为Barry诉Coupang Inc等案 案号25-cv-10795 随后的Lee诉Coupang Inc等案 案号26-cv-00047 扩大了集体诉讼期 [5] - 代理此案的Kahn Swick & Foti LLC是一家证券诉讼精品律所 其合伙人包括路易斯安那州前总检察长Charles C Foti Jr [5] - 过去一年 该律所被ISS Securities Class Action Services根据总和解价值评为全国前十 [5]

报告行业投资评级 * 报告未对特定行业或公司给出明确的投资评级 [1][7][9] 报告的核心观点 * 报告聚焦于2025年11-12月全球云上数据泄露事件，揭示了AI安全风险与云基础设施攻击面深度融合的新趋势 [12] * 攻击者正将AI模型作为跳板刺探云环境，并通过“零点击”漏洞和间接提示注入使社工攻击更隐蔽、自动化 [12] * 开发运维环境下的凭证管理失控是重灾区，硬编码密钥与供应链投毒频发，暴露了企业在云原生资产管理上的巨大盲区 [12] * 从事件成因看，基础Web应用类攻击与系统入侵并列成为导致数据泄露的首要因素，各占约30%，丢失和被窃取的凭证以及社工各占约20% [12][123] * 随着AI与云计算深度融合，云端的攻击面正从基础设施层向AI应用层极速扩张，模型参数、聊天记录、AI密钥等将成为新的核心泄露源 [134] 全球11-12月云上数据泄露典型事件解读 * **事件一：AI初创企业GitHub凭证泄露**：约65%的福布斯AI50榜单顶尖私营AI公司的核心AI平台凭证在GitHub泄露，包括API密钥和访问令牌，一个已删除分支中的HuggingFace令牌可能导致近千个私有模型暴露 [17][20] * **事件二：React2Shell漏洞大规模利用**：React Server Components的远程代码执行漏洞（CVE-2025-55182，CVSS 10.0）遭在野利用，约40%的云环境可能包含易受影响的React或Next.js实例，攻击者可实现未授权RCE并植入挖矿木马 [26][27] * **事件三：Salesforce第三方生态遭攻击**：SaaS供应商Gainsight遭入侵，导致超200家公司的Salesforce数据被窃取，攻击者通过滥用OAuth集成令牌绕过认证 [38][40][42] * **事件四：npm供应链投毒**：名为“Shai-Hulud 2.0”的供应链攻击污染了数百个npm包，窃取了超500个GitHub用户名和令牌以及约40万个独特的密钥，并在GitHub创建仓库进行交叉感染与数据外泄 [50][53][58] * **事件五：DockerHub镜像硬编码密钥**：共有10,456个公开Docker镜像泄露敏感密钥，其中AI模型访问令牌超4,000个，约42%的镜像同时暴露五个及以上敏感值，直接影响101家企业，包括一家《财富》500强公司 [68] * **事件六：ChatGPT SSRF漏洞**：ChatGPT自定义GPT的Actions功能存在SSRF漏洞，可诱导后端访问Azure云元数据服务，获取高权限OAuth2访问令牌，进而完全控制云资源 [77][81] * **事件七：MongoBleed内存泄露漏洞**：MongoDB漏洞（CVE-2025-14847，CVSS 8.7）影响超87,000个暴露实例，攻击者可在认证前从进程内存中泄露数据库凭证、API密钥等敏感信息 [85][86] * **事件八：Oracle EBS 0day漏洞利用**：攻击团伙利用Oracle E-Business Suite未授权RCE 0day漏洞（CVE-2025-61882），植入内存马，窃取全球高校及跨国企业的核心ERP数据及个人敏感信息（如SSN、银行账户）并进行勒索 [90][91][92] * **事件九：Google GeminiJack“零点击”漏洞**：Gemini Enterprise的间接提示注入漏洞，使攻击者可通过共享恶意文档，在用户无交互的情况下窃取其整个Workspace核心数据（Gmail、Drive、Calendar） [104][105] * **事件十：vLex VincentAI间接提示注入**：法律AI助手VincentAI的漏洞可被利用在受信任平台内生成伪造登录弹窗，导致全球超200,000家律师事务所的SSO凭证及敏感案卷面临窃取风险 [112][118] 安全建议 * **针对社工类及系统入侵**：建议构建防SSRF的AI网络隔离区，严格限制模型网络出口并设置请求白名单；强化漏洞全生命周期管理，及时修补高危漏洞并部署虚拟补丁；防御间接提示注入，对AI处理的外部数据进行源隔离与清洗，并在关键操作引入人工确认 [126][127] * **针对丢失和被窃取的凭证**：建议实施从代码到镜像的全链路凭证扫描，并在CI/CD流水线中集成自动化扫描工具；加强软件供应链管控，锁定依赖版本并搭建私有制品库进行安全扫描；实施云原生环境的最小权限原则与配置审计，优先使用临时凭证；建立应急响应机制，监测到泄露后立即执行全面的凭证轮转 [128][129]

诉讼概述 - 律师事务所Levi & Korsinsky, LLP通知Coupang, Inc的投资者，针对该公司提起了集体诉讼证券欺诈诉讼 [1] - 该诉讼旨在为在2025年5月7日至2025年12月16日期间因涉嫌证券欺诈而遭受损失的Coupang投资者挽回损失 [1] - 投资者若在此相关时间段内遭受损失，需在2026年2月17日前请求法院指定其为首席原告 [3] 指控详情 - 指控称被告做出了虚假陈述和/或隐瞒了以下事实：Coupang网络安全协议存在不足，导致一名前员工在近六个月内未被发现地访问了敏感客户信息 [2] - 指控称这使得Coupang面临监管和法律审查风险显著增加 [2] - 指控称当被告知悉发生数据泄露事件后，未根据适用的报告规则在当期报告（需提交给美国证券交易委员会）中进行披露 [2] - 指控称因此，被告的公开声明在所有相关时间都存在重大虚假和/或误导性 [2] 律师事务所信息 - Levi & Korsinsky律师事务所在过去20年里，已为受损股东追回数亿美元，并建立了处理高风险案件的胜诉记录 [4] - 该事务所在代表投资者处理复杂证券诉讼方面拥有丰富专业知识，拥有超过70名员工的团队为客户服务 [4] - 该事务所连续七年被ISS Securities Class Action Services评为美国顶级证券诉讼律师事务所之一，位列其Top 50报告 [4]

野村对Coupang评级与目标价调整 - 野村将Coupang评级从“买入”下调至“中性” [1] - 野村将Coupang目标价从30美元下调至22美元 [1] 评级调整的核心原因 - 11月30日发生的数据泄露事件暂时拖累了公司股价 [1] - 公司目前正面临韩国监管部门的加强监管 [1] 野村指出的潜在风险情景 - 上行风险：在不改变运营的情况下更快地解决数据泄露问题 [1] - 下行风险：公司业务运营可能发生意外暂停 [1]

事件概述 - 美国总统特朗普在官方发布前，于美国东部时间周四晚间8点20分提前披露了12月非农就业数据相关内容，其发布的图表数据与周五上午正式报告完全吻合[1][6] - 特朗普称是别人将数字拿给他后发出，白宫官员称此为对汇总数据的“无意公开”，数据部分源自提前披露的信息，白宫正在重新审查经济数据发布流程[1][6] 经济数据表现 - 12月美国非农部门新增就业岗位5万个，全国失业率微降至4.4%[2][7] - 2025年全年美国经济共新增就业岗位约58.4万个，较2024年的200多万个出现大幅回落[2][7] 数据保密制度与市场影响 - 美国联邦经济数据在预定发布时间前处于严格保密状态，因其具备影响金融市场的能力，提前获取可能带来不公平的交易优势[2][7] - 白宫经济官员每月会提前收到报告预发版本并签署保密协议，同时需为总统撰写报告摘要[2][7] - 分析指出数据泄露会损害投资者信心，因市场预期官员在报告发布前会严格保密，此类事件意味着少数特权群体可能抢先交易[2][7] - 前劳工统计局局长指出，数据若被提前披露，相关责任人可能被处以罚款甚至监禁，但以往类似违规通常以轻微处罚告终[2][7] 市场反应与投资者行为 - 尽管部分投资者可能已根据提前泄露的信息采取行动，但无明显迹象表明此次事件引发了就业数据相关的交易活动或市场价格异动[4][9] - 分析认为，特朗普发布的数据仅展示了劳动力市场的部分情况，大多数投资者关注包含最新失业率在内的完整月度数据[4][9] - 对于希望把握经济状况的投资者而言，他们更愿意等待完整报告的发布[5][10] 监管机构动态 - 美国证券交易委员会暂未就此次数据泄露事件回应置评请求[3][8]

诉讼概述 - 律师事务所Levi & Korsinsky, LLP通知Coupang, Inc. (NYSE: CPNG) 的投资者，有一项集体诉讼证券诉讼正在进行 [1] - 该诉讼旨在为在2025年8月6日至2025年12月16日期间因涉嫌证券欺诈而遭受损失的Coupang投资者挽回损失 [1] - 投资者若在相关时间段内遭受损失，需在2026年2月17日前请求法院指定其为首席原告 [3] 指控详情 - 指控称被告做出了虚假陈述和/或隐瞒了以下事实：Coupang的网络安全协议存在不足，导致一名前员工在近六个月内未被发现地访问了敏感客户信息 [2] - 这使得Coupang面临监管和法律审查风险显著增加 [2] - 当被告知悉发生数据泄露后，未按照适用的报告规则向美国证券交易委员会提交当期报告进行披露 [2] - 因此，被告在相关时间的所有公开陈述都存在重大虚假和/或误导性 [2] 后续行动与律所信息 - 作为集体成员，投资者可能有权获得补偿，且无需支付任何自付费用，参与没有成本或义务 [3] - Levi & Korsinsky律师事务所在过去20年里为受损股东追回了数亿美元，拥有处理复杂证券诉讼的广泛专业知识，团队超过70名员工 [4] - 该律所已连续七年被ISS证券集体诉讼服务评为美国顶级证券诉讼律所之一 [4]

事件概述 - 韩国电商巨头Coupang因大规模用户个人信息泄露事件，宣布向约3370万名受影响用户每人发放5万韩元（约人民币241.5元）补偿，总补偿金额高达1.685万亿韩元（约人民币81.39亿元）[1] - 补偿金将以代金券形式发放，计划从明年1月15日起陆续发放给今年11月底被通知资讯遭泄的账号用户[1] - 公司临时代表发布公告，就事件导致用户担忧进行深刻反省，并诚挚致歉[1] 事件背景与影响范围 - 数据泄露事故发生于11月底，涉及Coupang逾3300万用户，接近公司全部客户数量[1] - 截至2023年11月1日，韩国总人口数为5177万，受影响用户数占韩国总人口比例极高[1] - 事件发生后，公司创始人金范锡（Bom Kim）未出席首尔国会就数据泄露事件举行的听证会，激怒了议员们，他们表示将采取法律行动[1] 调查过程与结果 - 当地时间12月25日，Coupang发布调查声明，确认数据泄露肇事者身份，并追回了所有用于数据泄露的设备[3] - 调查显示，肇事者仅保留了3000个账户的有限用户数据，随后删除了这些数据[3] - 针对“自行调查”传闻，公司于12月26日声明调查是在政府明确指示下，经过数周每日协调进行的，并公布了详细调查时间表[5][6] - 调查时间表显示，公司自12月1日起与政府会面并同意全面合作，后续在政府协调下接触泄露者、追回设备、提交材料给警方进行法证分析，并于12月25日向客户通报结果[6] - 12月28日，创始人金范锡首次就该事件公开致歉，承诺公司会与政府就调查保持全面合作[6] 公司业务与历史监管问题 - Coupang是韩国最大的电商平台之一，致力于重塑零售体验，已斥资数十亿美元打造Rocket Delivery配送服务，99%的订单能在一天内送达[7] - 此前，Coupang曾因涉嫌“刷好评”行为面临韩国公平交易委员会处罚[9] - 2024年6月，韩国公平交易委员会对Coupang及其一家子公司处以共计1400亿韩元（约人民币7.3亿元）罚款，创下韩国针对流通企业的历史最高罚款金额，处罚原因包括操纵购物搜索排名以及伪造消费者购物评价[9]

公司补偿方案 - 韩国电商零售巨头Coupang宣布将向受数据泄露事件影响的3400万用户提供总额1.69万亿韩元（约合11.7亿美元）的补偿 [1] - 补偿形式为向每位符合资格的客户提供价值5万韩元的各类服务购买券 [1] - 即使在数据泄露事件后已注销账户的老用户同样具备领取资格 [1] - 用户可自明年1月15日起查询自身是否符合领券条件 [1] 公司高层表态与事件影响 - Coupang临时首席执行官Harold Rogers将此补偿举措称为“对客户负责任的做法”并承诺公司将“坚决履行全部责任” [1] - Rogers在声明中向客户致以最深切的歉意 [1] - 在Rogers致歉前一日Coupang创始人Kim Bom也公开道歉坦言“对用户经历的失望感到痛心疾首” [1] - 此次于11月18日曝光的数据泄露事件直接导致前任首席执行官Park Dae-jun于本月早些时候引咎辞职 [1] 事件处理与信息追回 - 创始人Kim Bom承认公司在事件初期未能进行清晰沟通并称其道歉“来得太迟” [1] - Kim Bom最初的想法是待所有事实调查核实完毕后再以公开形式致歉说明但他现在认为“这是错误的判断” [2] - 通过配合政府部门工作及追查涉事嫌疑人持有的存储设备公司现已成功收回所有泄露的用户信息 [2] - 嫌疑人电脑中存储的客户资料仅涉及3000条记录且相关信息并未对外扩散或出售 [2]

集体诉讼案件概述 - Levi & Korsinsky律师事务所通知Coupang Inc (NYSE: CPNG) 的投资者一项集体诉讼证券诉讼 [1] - 诉讼旨在为在2025年8月6日至2025年12月16日期间因涉嫌证券欺诈而遭受不利影响的投资者挽回损失 [1] - 投资者可在2026年2月17日前请求法院指定其为首席原告 [3] 指控内容 - 指控称被告做出了虚假陈述和/或隐瞒了以下事实：Coupang的网络安全协议存在不足，导致一名前员工在近六个月内未被发现地访问了敏感客户信息 [2] - 这使得Coupang面临监管和法律审查风险显著增加 [2] - 当被告知悉发生数据泄露事件后，未按照适用的报告规则在当期报告中（向美国证券交易委员会提交）进行报告 [2] - 因此，被告的公开陈述在所有相关时间都存在重大虚假和/或误导性 [2] 律师事务所信息 - Levi & Korsinsky律师事务所在过去20年里为受损股东追回了数亿美元，在重大案件中拥有胜诉记录 [4] - 该事务所在复杂的证券诉讼中代表投资者方面拥有广泛专业知识，拥有超过70名员工的团队 [4] - 连续七年，该事务所被ISS证券集体诉讼服务评为美国顶级证券诉讼公司之一 [4]