科技
酷澎個資外洩調查出爐,謊稱3千人受害其實是3千萬!內鬼是中國籍工程師,酷澎涉滅證、延遲申報恐遭重罰
有「韓國亞馬遜」之稱的電商巨頭酷澎(Coupang)個資外洩調查出爐。韓國官民聯合調查小組 10 日證實,有多達 3,367 萬筆用戶個資遭到外洩,超過南韓總人口的一半。
《韓國時報》與《每日經濟》稱,犯案者是中國籍退休員工,利用系統漏洞狂撈資料長達數月。酷澎最初試圖淡化事件,聲稱受害人數僅有 3,000 人,結果與官方調查結果相差萬倍。針對酷澎延遲通報、甚至涉嫌刪除數據滅證,當局已委託警方介入調查。
2025 年 12 月,總部位於美國的電商巨頭酷澎發生大規模資料外洩事件,隨著韓國科學技術情報通訊部(Ministry of Science and ICT,簡稱科技部)介入調查,真相終於大白:超過 3,367 萬筆用戶姓名和電子郵件遭到外流,幾乎涵蓋了韓國大部分的經濟活動人口。
韓媒《每日經濟》稱,科技部分析了去年 11 月 29 日起酷澎留存的 25.6 TB 網頁連線紀錄(約 6,642 億筆數據),確認這 3,367 萬筆用戶姓名與電子郵件從「修改我的資訊頁面」中外洩。
此外,嫌犯在「配送地址列表頁面」中,查詢了用戶姓名、電話號碼、配送地址,甚至公寓大門密碼(雖有匿名化處理)等個資,次數高達 1.48 億次。雖然無法立即將這 1.48 億次的瀏覽量視為個資外洩,因為可能是同一用戶的個資被重複訪問,但資安漏洞仍令人咋舌。
由於配送地址資訊不僅是用戶本人,可能還包含其家人、熟人等第三方「收件人」的姓名、電話與地址,因此受害範圍有可能進一步擴大。
調查小組痛批,酷澎在事件初期試圖「大事化小」,去年 12 月第一時間對外宣稱「雖然有 3,300 萬個資遭存取,但只有 3,000 筆實際被儲存」,隨後追加承認 16.5 萬筆,但與最終確認的 3,367 萬筆相比,顯示該公司在資訊揭露上極不誠實。
根據調查報告,外洩個資嫌犯為中國籍,曾在酷澎擔任軟體開發人員,負責設計和開發用戶身份驗證系統。他早於 2025 年 1 月就發現公司伺服器存在認證漏洞,經測試後,於同年 4 月至 11 月間,利用自動化的網頁爬蟲攻擊工具大規模蒐集、外洩資料。
《韓聯社》稱,調查小組並未揭露犯罪嫌疑人的具體身分,部分人認為,政府採取這些措施是考慮到韓國和中國之間的外交關係。
最令人詬病的是,酷澎的資安防護形同虛設。調查團指出,即便嫌犯進行了大規模的異常存取,酷澎在長達數月的時間內竟毫無察覺。甚至在先前的模擬駭客演練中,就已發現相關漏洞可能遭濫用,但公司卻未進行改善,導致門戶大開。
根據事發時間軸,酷澎於去年 11 月 17 日下午 4 點發現資安事故,並向公司資安長報告,卻遲至整整兩天後的 19 日晚上 9 點 35 分才向當局申報,違反 24 小時內通報的規定,最高可處 3,000 萬韓元(約新台幣 65 萬元)罰款。
此外,當局在調查初期命令酷澎保全資料、作為證據,但酷澎竟刪除了約 5 個月份的網頁連線紀錄及部分 App 存取紀錄。對此,韓國政府已正式委託警方介入調查,追究其法律責任。
雖然酷澎在去年 12 月底曾宣布,向個資被存取的 3,370 萬用戶提供總額約 1.685 兆韓元(約新台幣 370 億元)補償,相當於每人獲得面額 5 萬韓元(約新台幣 1,095 元)。補償從今年 1 月 15 日起陸續發放,可用於酷澎提供的各項服務。但這次爆發如此嚴重的資安與誠信危機,恐將衝擊消費者對平台的信任度。
更多風傳媒報導
不滿酷澎因個資外洩被首爾「特別對待」?美國股東要華府啟動301調查,連副總統都親自關切
告洋狀欲讓華府介入?南韓酷澎個資外洩案新發展,美股東控訴李在明「親中」迫害企業
個資外洩風暴延燒!酷澎砸360億補償受害用戶卻「僅限平台使用」,南韓議員吐槽是變相替自己行銷
《韓國時報》與《每日經濟》稱,犯案者是中國籍退休員工,利用系統漏洞狂撈資料長達數月。酷澎最初試圖淡化事件,聲稱受害人數僅有 3,000 人,結果與官方調查結果相差萬倍。針對酷澎延遲通報、甚至涉嫌刪除數據滅證,當局已委託警方介入調查。
2025 年 12 月,總部位於美國的電商巨頭酷澎發生大規模資料外洩事件,隨著韓國科學技術情報通訊部(Ministry of Science and ICT,簡稱科技部)介入調查,真相終於大白:超過 3,367 萬筆用戶姓名和電子郵件遭到外流,幾乎涵蓋了韓國大部分的經濟活動人口。
韓媒《每日經濟》稱,科技部分析了去年 11 月 29 日起酷澎留存的 25.6 TB 網頁連線紀錄(約 6,642 億筆數據),確認這 3,367 萬筆用戶姓名與電子郵件從「修改我的資訊頁面」中外洩。
此外,嫌犯在「配送地址列表頁面」中,查詢了用戶姓名、電話號碼、配送地址,甚至公寓大門密碼(雖有匿名化處理)等個資,次數高達 1.48 億次。雖然無法立即將這 1.48 億次的瀏覽量視為個資外洩,因為可能是同一用戶的個資被重複訪問,但資安漏洞仍令人咋舌。
由於配送地址資訊不僅是用戶本人,可能還包含其家人、熟人等第三方「收件人」的姓名、電話與地址,因此受害範圍有可能進一步擴大。
調查小組痛批,酷澎在事件初期試圖「大事化小」,去年 12 月第一時間對外宣稱「雖然有 3,300 萬個資遭存取,但只有 3,000 筆實際被儲存」,隨後追加承認 16.5 萬筆,但與最終確認的 3,367 萬筆相比,顯示該公司在資訊揭露上極不誠實。
根據調查報告,外洩個資嫌犯為中國籍,曾在酷澎擔任軟體開發人員,負責設計和開發用戶身份驗證系統。他早於 2025 年 1 月就發現公司伺服器存在認證漏洞,經測試後,於同年 4 月至 11 月間,利用自動化的網頁爬蟲攻擊工具大規模蒐集、外洩資料。
《韓聯社》稱,調查小組並未揭露犯罪嫌疑人的具體身分,部分人認為,政府採取這些措施是考慮到韓國和中國之間的外交關係。
最令人詬病的是,酷澎的資安防護形同虛設。調查團指出,即便嫌犯進行了大規模的異常存取,酷澎在長達數月的時間內竟毫無察覺。甚至在先前的模擬駭客演練中,就已發現相關漏洞可能遭濫用,但公司卻未進行改善,導致門戶大開。
根據事發時間軸,酷澎於去年 11 月 17 日下午 4 點發現資安事故,並向公司資安長報告,卻遲至整整兩天後的 19 日晚上 9 點 35 分才向當局申報,違反 24 小時內通報的規定,最高可處 3,000 萬韓元(約新台幣 65 萬元)罰款。
此外,當局在調查初期命令酷澎保全資料、作為證據,但酷澎竟刪除了約 5 個月份的網頁連線紀錄及部分 App 存取紀錄。對此,韓國政府已正式委託警方介入調查,追究其法律責任。
雖然酷澎在去年 12 月底曾宣布,向個資被存取的 3,370 萬用戶提供總額約 1.685 兆韓元(約新台幣 370 億元)補償,相當於每人獲得面額 5 萬韓元(約新台幣 1,095 元)。補償從今年 1 月 15 日起陸續發放,可用於酷澎提供的各項服務。但這次爆發如此嚴重的資安與誠信危機,恐將衝擊消費者對平台的信任度。
更多風傳媒報導
不滿酷澎因個資外洩被首爾「特別對待」?美國股東要華府啟動301調查,連副總統都親自關切
告洋狀欲讓華府介入?南韓酷澎個資外洩案新發展,美股東控訴李在明「親中」迫害企業
個資外洩風暴延燒!酷澎砸360億補償受害用戶卻「僅限平台使用」,南韓議員吐槽是變相替自己行銷
新聞來源: 原始來源
尚無評論,成為第一個發言的人吧!