南韓政府周二(10 日)表示,電商公司酷澎 (CPNG-US) 必須全面修補其資安系統漏洞。南韓官方認為,這些漏洞正是導致公司發生大規模資料外洩的主因。該事件也成為南韓史上最嚴重的資料外洩事件之一。
根據《路透》報導,南韓科學技術情報通訊部公布政府主導調查的初步結果指出,這起外洩事件與一名前酷澎工程師有關。
該名工程師熟知身分驗證系統的安全漏洞,並曾於 2025 年 1 月嘗試存取相關系統。資料外洩事件於 4 月爆發、並一路持續至 11 月。
南韓科學部表示,調查結果已確認約有 3,370 萬名用戶的個人資料遭到外洩。
該部指出,攻擊者利用使用者身分驗證系統的漏洞,在未經正常登入程序的情況下存取用戶帳號,進而造成大規模未經授權的資訊外洩。
科學部並指控該名前員工竊取公司內部的安全金鑰,利用該金鑰生成偽造的登入憑證,非法存取客戶帳戶。
該部指出,該名前資深工程師曾參與酷澎使用者身分驗證系統部分功能的設計與開發,但在其離職後,酷澎未能即時偵測偽造的登入行為,也未對關鍵的簽署金鑰進行輪換。
科學部表示,針對偽造或遭竄改的電子存取憑證,其驗證機制明顯不足,使得相關攻擊難以及早被發現或阻擋,並督促酷澎建立一套可偵測並封鎖未經正常核發流程的電子存取憑證之系統。
此外,警方與南韓個人資料保護主管機關目前仍就此資料外洩事件展開各自的獨立調查。
科學部也指控酷澎違反《資訊網路法》,未在法定 24 小時內通報資料外洩事件,並表示將依該法對酷澎處以最高 3,000 萬韓元(約 2.06 萬美元)的行政罰鍰。
該部門表示,酷澎於 11 月 17 日下午 4 時得知資料外洩情況,卻直到 11 月 19 日晚間 9 時 35 分才通報主管機關。
同時,酷澎亦被指未遵守為釐清資料外洩原因而下達的資料保存命令,相關情事已移送有關單位進一步調查。
截至目前,酷澎尚未對此事發表回應。
