Chủ tịch Ủy ban Bảo vệ Thông tin Cá nhân Song Kyung-hee: 'Không phải là tấn công tinh vi mà do quản lý lỏng lẻo'
Thông tin của 37,55 triệu người bị rò rỉ và thu thập trái phép hồ sơ hoạt động của bên thứ ba... Coupang cho biết sẽ kháng cáo theo quy trình pháp lý
Ủy ban Bảo vệ Thông tin Cá nhân (Ủy ban Bảo vệ Thông tin) đã quyết định phạt Coupang số tiền kỷ lục 6.246 tỷ đồng do không thực hiện đầy đủ nghĩa vụ bảo vệ thông tin cá nhân cơ bản của doanh nghiệp, không chỉ đơn thuần là một vụ tấn công mạng. Các vi phạm bao gồm rò rỉ thông tin cá nhân, thu thập thông tin cá nhân không có cơ sở pháp lý, cản trở điều tra và vi phạm nghĩa vụ tiêu hủy thông tin cá nhân đã được xác nhận, dẫn đến mức phạt vượt qua mức phạt trước đó của SK Telecom.
Chủ tịch Ủy ban Bảo vệ Thông tin Song Kyung-hee đã tổ chức một buổi họp báo vào ngày 11 tháng 6 tại trụ sở Chính phủ Seoul và cho biết: "Vụ việc này không phải là một cuộc tấn công tinh vi mà là do quản lý lỏng lẻo trong việc quản lý khóa chữ ký xác thực và kiểm soát truy cập, dẫn đến sự cố này". Bà cũng nhấn mạnh rằng quyết định này được đưa ra dựa trên trách nhiệm theo pháp luật và nguyên tắc, không phân biệt doanh nghiệp trong nước hay quốc tế.
Quyết định này được xác nhận sau hơn 13 giờ thảo luận tại cuộc họp toàn thể của Ủy ban Bảo vệ Thông tin diễn ra vào ngày hôm trước. Cuộc họp bắt đầu lúc 10 giờ sáng và kết thúc vào khoảng 11 giờ 30 phút tối, trong đó Coupang đã tham gia và đưa ra ý kiến cũng như trả lời câu hỏi từ các ủy viên.
Vụ việc bắt đầu vào ngày 20 tháng 11 năm ngoái khi Coupang thông báo về việc rò rỉ thông tin cá nhân sau khi nhận được email đe dọa từ hacker. Ngày hôm sau, Ủy ban Bảo vệ Thông tin đã ngay lập tức tiến hành điều tra và thành lập một nhóm công tác chung với Viện Phát triển Internet Hàn Quốc (KISA) để tiến hành điều tra tập trung, do Coupang là nền tảng hạ tầng sống được nhiều người sử dụng.
Sau đó, trong quá trình điều tra nội bộ, Coupang đã phát hiện ra quy mô rò rỉ lớn hơn nhiều so với báo cáo ban đầu và đã thực hiện báo cáo lần thứ hai vào ngày 29 tháng 11. Đến tháng 2 năm nay, công ty đã phát hiện thêm khoảng 165.000 tài khoản thành viên bị rò rỉ và thực hiện báo cáo lần thứ ba.
Kết quả điều tra cho thấy hacker là một nhân viên cũ của Coupang đã nghỉ việc vào cuối năm ngoái. Người này đã sử dụng khóa chữ ký của hệ thống xác thực thay thế mà mình phát triển trong thời gian làm việc tại Coupang để truy cập vào thông tin thành viên, quản lý địa chỉ giao hàng và trang danh sách đơn hàng từ tháng 4 đến tháng 11 năm nay, lấy cắp thông tin cá nhân. Quy mô rò rỉ lên tới khoảng 37,55 triệu người, bao gồm 33,22 triệu thành viên và ít nhất 4,33 triệu người không phải thành viên.
Ủy ban Bảo vệ Thông tin đã đánh giá việc Coupang vi phạm nghĩa vụ bảo đảm an toàn là một vấn đề nghiêm trọng. Công ty đã quản lý khóa chữ ký xác thực theo cách cho phép xem dưới dạng văn bản thuần túy và không ngay lập tức hủy bỏ hoặc thay thế khóa này sau khi nhân viên có quyền truy cập nghỉ việc. Hơn nữa, trong suốt thời gian tấn công, đã xảy ra 148 triệu lần truy cập bất thường và sự gia tăng lưu lượng truy cập đột ngột, nhưng Coupang đã không phát hiện ra điều này và cũng không thực hiện phân tích bổ sung về các dấu hiệu bất thường. Ủy ban Bảo vệ Thông tin cho biết: "Việc không nhận thức được sự tấn công cho thấy hệ thống kiểm soát truy cập không hoạt động đúng cách".
Ủy ban cũng cho rằng phản ứng của Coupang sau khi rò rỉ thông tin là không đủ. Công ty đã không thông báo về việc rò rỉ thông tin trong thời gian quy định là 72 giờ, mặc dù đã nhận thức được việc rò rỉ thêm. Đối với những người không phải thành viên có thông tin địa chỉ giao hàng, Coupang đã không thông báo về việc rò rỉ mặc dù đã nhận được nhiều yêu cầu từ Ủy ban. Thông tin cá nhân của các thành viên đã rời khỏi cũng bị giữ lại trái với quy định nội bộ, dẫn đến một số thông tin thực sự bị rò rỉ. Trong quá trình điều tra, Coupang cũng đã bị phát hiện xóa nhật ký truy cập web hoặc duy trì chính sách tự động xóa sau khi có lệnh bảo tồn tài liệu, gây khó khăn cho việc xác định nguyên nhân sự cố. Ủy ban Bảo vệ Thông tin đã quyết định sẽ khởi tố về tội cản trở điều tra.
Ngoài ra, Ủy ban Bảo vệ Thông tin cũng xác nhận rằng Coupang đã thu thập trái phép hồ sơ truy cập vào các trang web và ứng dụng của bên thứ ba của khoảng 11,17 triệu người dùng trong khi vận hành "Coupang Partners" mà không có sự đồng ý. Ủy ban cho biết rằng việc thu thập hồ sơ hoạt động trực tuyến của cá nhân để quảng cáo cá nhân hóa không có cơ sở pháp lý và việc quản lý các quảng cáo "bị bắt cóc" của các đối tác quảng cáo cũng không được thực hiện đúng cách, do đó đã áp dụng mức phạt bổ sung 2.011 tỷ đồng.
Coupang đã bày tỏ sự tiếc nuối về quyết định của Ủy ban Bảo vệ Thông tin. Công ty cho biết: "Các biện pháp phòng ngừa thiệt hại thứ hai liên quan đến sự cố rò rỉ dữ liệu và giải thích dựa trên sự thật rõ ràng đã không được phản ánh đầy đủ trong quyết định của Ủy ban" và "chúng tôi hy vọng rằng sự thật sẽ được làm rõ thông qua quy trình pháp lý sau khi nhận được văn bản chính thức". Coupang cũng khẳng định rằng Coupang Partners được vận hành hợp pháp dựa trên mô hình hợp tác tương tự như các công ty toàn cầu.
* Bài viết này được dịch tự động bằng AI.
BAEK SEO HYUN
qortjgus0602@ajunews.com
© Bản quyền thuộc về Thời báo Kinh tế AJU & www.ajunews.com: Việc sử dụng các nội dung đăng tải trên vietnam. kyungjeilbo.com phải có sự đồng ý bằng văn bản của Aju News Corporation.