▲南韓國內規模最大電商「酷澎」(Coupang)爆發3370萬筆用戶個資外洩的事件。(圖/VCG)
記者羅翊宬/編譯
南韓最大電商平台「酷澎」(Coupang)遭爆至少3370萬筆客戶個資遭離職中國籍員工外洩,涵蓋姓名、電話、電子郵件、住址,甚至有玄關密碼等。受害者已透過多家律師事務所展開集體訴訟,參與人數動輒上千,但依過去判例推估,每人最終恐僅獲賠10萬韓元(約新台幣2135元)。
同時,酷澎證實嫌疑人為「認證系統開發者」,卻表示難以對外公開公司內中國籍員工人數。
酷澎3千萬筆以上客戶個資遭外流後,南韓各大律師事務所迅速啟動集體訴訟程序。《韓聯社》指出,已有多家律所湧入數百到數千名受害者申請。最早提告的法務法人「青」(音譯)已於1日替14名用戶向首爾中央地方法院遞訴狀,每人求償20萬韓元,後續又接到約800名用戶表達意願。
法務法人「志向」更已完成2500份委任合約,法律事務所「繁華」(音譯)也透露已約3000名受害者簽署參加,法律事務所「Lawpid」同樣累計2400多人加入。
然而,若參考過去南韓多起重大個資外洩判例,實際賠償金額大多偏低。2014年KB國民卡、NH農協卡與樂天卡等1億多筆個資外洩案中,法院裁定每名受害者僅可獲賠10萬韓元。
▲南韓最大電商平台「酷澎」(Coupang)多達3370萬筆客戶個資外洩,疑似是參與系統開發的前中國籍員工涉案。(圖/達志影像)
2016年「Interpark」、2024年「Modetour」等案件,最終判決也維持相同標準。甚至KT 2014年981萬名客戶個資外洩案,大法院(最高法院)認定企業已履行法定保護措施,最終駁回賠償請求。律師也提醒,僅有參與訴訟的使用者可獲賠,其他受害者無法適用判決結果。
在政治與輿論壓力高漲下,南韓國會昨(2)日召開緊急現況質詢會議,要求酷澎說明嫌疑人身份與權限。酷澎執行長(CEO)朴大俊證實,涉案者非一般認證業務人員,而是負責開發認證系統的「開發人員」。由於認證系統開發團隊分工細緻,他表示目前難以斷言犯罪行為由單人或多名嫌疑犯共同實施。
酷澎資安長馬蒂斯(Bran Metis)則向南韓國會說明,嫌疑犯疑似取得公司內部的私有電子簽章密鑰,並利用該密鑰生成偽造認證權杖(Token),進而長期存取客戶資訊。南韓科學技術資訊通信部進一步報告,攻擊行為從6月24日起至11月8日,持續長達4個多月,期間至少3000萬筆帳戶遭到未授權存取。
外界質疑酷澎未能即時監測異常徵兆;但酷澎解釋,嫌疑人使用多重IP與多種規避手法,才使內部安全監測系統無法及時發現。
另一方面,韓媒《News1》指出,南韓國會要求酷澎提交「過去5年中國籍開發者每月聘用資料」以及「包含朝鮮族在內等中國籍員工現況」。但酷澎稱,為服務營運與技術開發,公司以專業能力為基準聘用不同國籍人才,因此難以對外提供國籍分布資料。
近期社群平台也流傳「酷澎IT人員9成為中國人」等內容,但酷澎嚴正否認,強調與事實不符。
讀者迴響