南韓電商平台Coupang外洩3367萬用戶個人資料　地址被查閱1.48億次

南韓電商平台酷澎（Coupang）前員工竊取個人資料事件調查結果出爐，南韓科學技術資訊通信部昨日（2月10日）確認共有3367萬用戶個人資料外洩，包含姓名、電子郵件等資訊，而送貨地址等資料更被查閱高達1.48億次。

《韓聯社》報道，科技資通部表示，調查團隊自去年11月29日起，分析Coupang留存的25.6TB網路連線紀錄，發現攻擊者透過「我的資訊修改頁面」竊取3367萬餘用戶姓名及電子郵件。此數據與調查初期推估的3370萬筆相近，但不包含Coupang近期另外公布的16.5萬個帳戶外洩案件。

家人及朋友資料俱受影響

調查團隊指出，攻擊者在「配送地址清單頁面」查閱了1.48億次個人資料，內容包括姓名、電話號碼、地址，以及經特殊符號去識別化處理的住宅大門密碼。這些資訊不僅涵蓋帳戶持有人，也包含代為購買商品的家人、朋友等第三方資料，受影響範圍可能進一步擴大。

最令外界擔憂的住宅大門密碼，則透過「送貨地址清單修改頁面」被查閱約5萬次，連同姓名、電話號碼及地址一併外洩。此外，近期訂單資訊在「訂單清單頁面」被查閱約10萬次。付款資訊未包含在外洩範圍內，目前也尚未發現敏感個資被用於二次犯罪的案例。

調查顯示，該名前員工在Coupang任職期間負責設計系統故障時的備援用戶認證系統。去年1月起發現Coupang伺服器的認證漏洞並進行測試，自去年4月14日開始大規模非法竊取資料，直到去年11月8日為止，利用自動化網路爬蟲工具蒐集用戶個人資料，過程中使用多個IP位址進行攻擊。

調查團隊批評Coupang未能及時察覺異常，儘管先前模擬黑客攻擊測試已發現未經正常程序核發的「電子通行證（token）」可能遭到濫用，但Coupang並未改善此問題。調查團隊要求Coupang強化認證金鑰及使用紀錄管理，並定期檢查內部資料安全規定情況。

科技資通部指出，Coupang去年11月17日下午4時向最高資訊保護長（CISO）通報此事件，卻延至11月19日晚上9時35分才向主管機關申報，違反24小時內通報規定，將被罰款。此外，儘管主管機關於去年11月19日下令保全資料以用作調查，Coupang仍刪除2024年7月起約5個月的網路連線紀錄，以及去年5月23日至6月2日的應用程式連線紀錄。