▲電商平台「酷澎」(Coupang)。(圖/達志影像)
記者高兆麟/台北報導
美國電商巨頭酷澎(Coupang)去年底在韓國爆發的用戶個資外洩事件,引發社會高度關注。當時,韓國國會接連召開聽證會,要求酷澎出席說明,甚至有主管單位表示,不排除暫停酷澎在韓國的營業。隨著韓國官方聯合調查小組近日公布最終報告,事件終於有了更清楚的輪廓。
調查結果指出,這起個資外洩事件源於一名前酷澎員工(離職工程師)利用在職期間熟悉的使用者認證系統與個人職務上取得的驗證資訊,非法存取了部分用戶帳號。調查報告顯示,約有3,300萬用戶的姓名、電子郵件等資料被該員工查閱,其中也包括配送地址及電話號碼等聯絡資訊。
值得關注的是,本次事件亦波及台灣市場,而酷澎台灣的因應作為,充分展現對台灣消費者資料安全的高度重視。事件曝光後,酷澎台灣隨即主動委託全球鑑識與資安專家Mandiant與PaloAltoNetworks進行獨立調查,並積極配合數位發展部的監督與指導,在其指示下完成嚴謹且全面的鑑識程序。調查確認約20萬個台灣帳號遭存取,但鑑識分析顯示前員工實際儲存的資料僅1個台灣帳號,遭接觸資料亦僅限姓名、電郵、電話及配送地址等基本聯絡資訊,無任何財務資料、密碼或政府核發身分證件外洩。所有相關設備均已追回且資料已確認刪除,目前亦無任何第三人閱覽或取得相關資料之證據。韓國警察廳及公私協力聯合調查小組亦同步確認,迄今未發現資料遭濫用或衍生損害之情形。
根據韓國官方報告,攻擊者使用自動化工具共查閱配送地址清單頁面超過1.4億次,並多次查看訂單商品資訊。雖然調查人員在其電腦中發現可將資料傳輸到外部伺服器的程式,但目前並沒有證據顯示資料實際被傳出或被濫用,換句話說,事件屬於內部知識濫用,並非大規模駭客入侵。
韓國公平交易委員會在向韓國國會報告時明確表示,本次外洩事件並未涉及信用卡號或銀行帳戶等金融敏感資訊,也沒有證據顯示用戶資料被濫用,官方認定事件未造成消費者財產損失,依法無法要求酷澎停業。我國行政法學者廖義銘教授亦指出,本次外洩資料不足以直接造成帳號被盜或金融詐欺,這些資料並不包含金融資料、登入密碼或身分證號碼,在未收到消費者資料被濫用的通報前,停業處分不符合法規是合理的判斷。
在事件曝光後,酷澎已提出內部改善計畫,包括加強員工權限控管、強化日誌監控、定期進行模擬駭客測試,以及完善通報流程,目的是降低未來類似事件發生的風險,本案後續發展仍有待持續觀察。
讀者迴響