南韓最大的電子商務平台酷澎(Coupang)在 11 月爆發大規模客戶資料外洩事件,約有 3,370 萬筆帳戶的個人資訊遭到未經授權存取,包括姓名、電子郵件、配送地址和電話號碼,部分客戶的訂單紀錄也受到影響。不過, 酷澎強調客戶的付款細節、信用卡號碼和登入憑證並未受到影響,且根據目前的調查結果,未有台灣消費者的資料外洩。
據調查,這些未經授權的存取行為從今年 6 月就已開始,最初酷澎估計受影響的帳戶約為 4,500 個,但在隨後進行的調查中,這個數字被修正為 3,370 萬,超過南韓總人口的一半,這樣的規模與影響,也使外界相當關注這起事件究竟是如何發生。
比駭客更具威脅性的「內鬼」
與一般多由外部網路駭客發動的攻擊不同,酷澎表示,這起事件目前沒有公開跡象顯示存在外部入侵,這也讓外界更懷疑是「內部造成的威脅」。根據《韓聯社》報導,這些個人資訊可能遭一名曾任職於酷澎的中國籍人士竊取,目前這位人士已離職並離開南韓。
酷澎指出,這些未經授權的存取行為疑似透過海外伺服器進行。根據韓國科學技術情報通信部部長 Bae Kyung-hoon 的說法,調查人員進一步確認,攻擊者的確是利用酷澎伺服器中的身分驗證漏洞,在不必登入的情況下,即可存取超過 3,000 萬筆客戶紀錄。
「如果這次外洩事件是透過員工發生的,代表內部安全管理沒有充分發揮作用,」首爾女子大學網路安全學教授 Park Choon-sik 強調,這次事件也凸顯酷澎在員工權限管理、存取控管與資料治理制度方面可能有重大缺口,更凸顯與外部攻擊相比,內部人員相關的事件可能會造成更重大的損害。
SK Telecom 與酷澎的對照
酷澎這次的內部風險,也讓外界重新檢視今年初 SK Telecom 遭駭事件,兩者皆是內控與治理問題所導致的資安事件。
SK Telecom 在今年 4 月有 2,324 萬客戶紀錄遭駭,由於 SK Telecom 未能妥善保護客戶資料且未及時報告洩漏事件,南韓個人資訊保護委員會(PIPC)在 8 月 對其處以 1,348 億韓元(約 9,700 萬美元)的巨額罰款,並嚴厲批評 SK Telecom ,指出該公司在確保用戶資料安全方面存在「長期疏忽」。
PIPC 主席 Ko Haksoo 表示, SK Telecom 在相當長一段時間內處於脆弱狀態,如未能落實基本安全防護,以及在存取控管、系統維護等制度設計上的缺失。這也說明,不論是像 SK Telecom 這樣的電信巨頭,還是像酷澎這樣的電子商務平台,一旦內部控制和治理制度失守,後果可能比單純遭受駭客攻擊更嚴重。
儘管資安投資金額上升,但佔營收比重仍低
《Korea JoongAng Daily》指出,酷澎曾藉由將資安長(CISO)和隱私長(CPO)的職位分離,並將這兩個角色分配給高層主管,來加強安全防禦結構,然而從這次的個資外洩事件來看,顯然在面對內部風險時,這個結構並未發揮效果。因為這些未經授權的存取透過海外伺服器發生,並持續近五個月未被發現,反映權限管理與監控機制明顯不足。
此外,酷澎在資安上的投入與其營收規模並不相稱,韓國網路振興院(KISA)指出,酷澎 2025 年在網路安全方面投資了約 890 億韓元,這筆金額佔酷澎總 IT 支出的 4.6%。根據《Korea JoongAng Daily》報導,酷澎去年的年營收超過 41 兆韓元,並持續增長,但資安投資佔總營收比重只有 0.2%,低於 SK Telecom 的 0.7% 與 Naver 的 0.4%。
「政府可以加強標準,但公司必須實施自己的應對措施來解決漏洞問題,」順天大學資訊安全學教授 Youm Heung-youl 強調。從酷澎與今年初發生的 SK Telecom 事件,再次凸顯對大型平台而言,比起日新月異的駭客技術,更巨大的風險或許是在內部控制、權限治理與制度設計未能到位,因為一旦缺口長期存在,企業可能在毫無察覺的情況下,讓數千萬名用戶暴露於災難性風險中。
*本文開放合作夥伴轉載,資料來源:《Bloomberg》1、《Bloomberg》2、《Korea JoongAng Daily》、《The Korea Herald》,首圖來源:Coupang
