韓國酷澎(Coupang Corp.)去年發生大規模個資外洩事件,經第三方資安公司鑑識確認,約20萬個酷澎台灣帳號的用戶資料曾遭未授權接觸。數發部數產署今天表示,昨天赴酷澎股份有限公司進行實地個資行政檢查,發現酷澎台灣個資管理存有缺失,將依相關規定裁處。
數產署發布新聞稿指出,韓國酷澎去年11月發生個資外洩事件,第一時間即請酷澎台灣說明,並確認台灣用戶資料是否受影響。當時酷澎台灣回報並公開聲明,依據調查,無證據顯示酷澎台灣的消費者個資外洩,並表示已委由第三方資安公司調查,數產署要求酷澎台灣即時回報韓國或第三方資安公司最新調查情形。
為進一步釐清酷澎台灣個資保護情況,數產署表示,去年12月24日再次邀集法律、資安專家及學者,會同資安院辦理實地個資行政檢查。酷澎台灣仍表示第三方資安公司尚在調查,並再度強調依當時調查尚無證據顯示有台灣用戶受到影響。數產署也要求酷澎台灣以雙週為頻率,回報韓國及第三方資安公司的調查進度,如涉及台灣用戶應在第一時間通報。
數產署指出,酷澎台灣於今年1月12日、26日及2月9日回報,均表示調查尚在進行,仍無明確證據顯示台灣用戶資料受影響。2月10日韓國科學技術情報通訊部發布酷澎韓國個資外洩調查結果,攻擊者在去年11月16日及25日發送給酷澎韓國的電子郵件,聲稱「由於 Coupang系統存在不難發現的漏洞,數十億條用戶隱私數據面臨外洩風險,韓國、日本、台灣用戶皆受影響」,而酷澎台灣於2月23日通報,經第三方資安公司鑑識,證實有台灣用戶遭非法存取。
數產署表示,昨天上午邀集法律、資安專家學者、刑事警察局及資安院組成行政調查小組,赴酷澎台灣進行實地個資行政檢查,初步了解攻擊者與酷澎韓國攻擊事件是同一人,為酷澎韓國離職員工,以持有備援金鑰偽造客戶登入驗證的手法,擷取酷澎台灣部分使用者資料。
數產署指出,酷澎台灣所提出的第三方資安公司鑑識報告顯示,攻擊者是透過2000多個不同的IP網址,登入並接觸20萬4552名酷澎台灣用戶的個資,包括姓名、電子郵件、電話號碼、配送地址及部分訂單紀錄等。
數產署說明,依先前酷澎台灣表示,台灣與韓國的用戶資料庫有區隔,但檢查結果發現,不同資料庫的備援金鑰係相同,使用同一備援金鑰即可存取。此外,酷澎未刪除離職員工的權限及定期更換備援金鑰,離職員工仍可以原取得的備援金鑰進行資料庫存取。
數產署表示,將依個人資料保護法、數位經濟相關產業個人資料檔案安全維護管理辦法等相關規定,持續對鑑識報告及各項情事進行查核,並就調查事證結果,依法定程序辦理裁處事宜。
