南韓酷澎3367萬用戶個資外洩　配送地址遭查閱1.48億次

南韓電商平台酷澎（Coupang）前員工竊取個資事件調查結果出爐，南韓科學技術資訊通信部10日公布聯合調查報告，確認共有3367萬筆用戶個資遭到外洩，包含姓名、電子郵件等資訊，而配送地址等資料更被查閱高達1億4800萬次。

《韓聯社》10日報導，科技資通部表示，調查團隊自去年11月29日起，分析酷澎留存的25.6 TB網路連線紀錄（共6642億筆數據），發現攻擊者透過「我的資訊修改頁面」竊取3367萬餘筆用戶姓名及電子郵件。此數據與調查初期推估的3370萬筆相近，但不包含酷澎近期另行公布的16萬5千餘個帳號外洩案件。

調查團隊指出，攻擊者在「配送地址清單頁面」查閱了1億4800萬次個資，內容包括姓名、電話號碼、配送地址，以及經特殊符號去識別化處理的公寓大門密碼。這些資訊不僅涵蓋帳號持有人本人，也包含代為購買商品的家人、朋友等第三方資料，受影響範圍可能進一步擴大。

• play_circle_outline 南韓徹查無人機越界飛北韓事件　警方突擊搜查情治單位

最令外界擔憂的公寓大門密碼，則透過「配送地址清單修改頁面」被查閱約5萬筆，連同姓名、電話號碼及地址一併外洩。此外，近期訂單資訊在「訂單清單頁面」被查閱約10萬次。所幸付款資訊未包含在外洩範圍內，目前也尚未發現敏感個資被用於二次犯罪的案例。

調查顯示，該名前員工在酷澎任職期間負責設計系統故障時的備援用戶認證系統。去年1月起發現酷澎伺服器的認證漏洞並進行測試，自去年4月14日開始大規模非法竊取資料，直到去年11月8日為止，利用自動化網路爬蟲工具蒐集用戶個資，過程中使用多個IP位址進行攻擊。

調查團隊批評酷澎未能及時察覺異常，儘管先前模擬駭客攻擊測試已發現未經正常程序核發的「電子通行證（token）」可能遭到濫用，但酷澎並未改善此問題。調查團隊要求酷澎強化認證金鑰發放及使用紀錄管理，並定期檢查內部資安規定遵守情況。

• play_circle_outline 日本擬加入北約烏克蘭援助框架　僅提供非殺傷性裝備

科技資通部指出，酷澎於去年11月17日下午4時向最高資訊保護長（CISO）通報此事件，卻遲至19日晚間9時35分才向主管機關申報，違反24小時內通報規定，將處以罰鍰。此外，儘管主管機關於去年11月19日下令保全資料以利調查，酷澎仍刪除2024年7月起約5個月的網路連線紀錄，以及去年5月23日至6月2日的應用程式連線紀錄，此部分已移送偵辦。

科技資通部要求酷澎於本月內提交防止再犯對策的執行計畫，並將於今年7月前進行履行狀況檢查。若酷澎未依指示改善資安缺失，將取消其資訊保護及個人資料保護管理體系認證（ISMS）。