▲南韓國內規模最大電商「酷澎」(Coupang)爆發用戶個資外洩的事件。(圖/VCG)
記者陳瑩欣/台北報導
酷澎韓國(Coupang Corp.)去(2025)年發生大規模個資外洩事件,經第三方資安公司鑑識確認,20萬4552名酷澎台灣帳號的用戶資料曾遭未授權接觸。數位發展部數位產業署今(26日)表示,昨(25日)赴酷澎台灣進行實地個資行政檢查,發現未刪除離職員工權限及定期更換備援金鑰等個資管理存有缺失,將依相關規定裁處。
數位發展部數位產業署昨(25日)上午邀集法律、資安專家學者、刑事警察局及國家資通安全研究院組成行政調查小組,赴酷澎台灣進行實地個資行政檢查,發現酷澎台灣的個資管理存有缺失,後續將依《個人資料保護法》及《數位經濟相關產業個人資料檔案安全維護管理辦法》等相關規定裁處。
2025年11月酷澎韓國發生個資外洩事件,數產署第一時間即請酷澎台灣說明,並確認台灣用戶資料是否受到影響。當時酷澎台灣回報並公開聲明,依據調查無證據顯示酷澎臺灣的消費者個資有外洩現象,並表示已委由第三方資安公司進行調查中,數產署即要求酷澎台灣即時回報韓國或第三方之最新調查情形。
數產署成立行政調查小組,25日赴酷澎台灣進行實地個資行政檢查,經初步瞭解事件說明如下:
一、攻擊者與酷澎韓國攻擊事件係為同一人,為酷澎韓國離職員工,並以持有備援金鑰得以偽造客戶登入驗證之相同手法,擷取酷澎台灣部分使用者資料。
二、依酷澎台灣所提出之第三方資安公司鑑識報告顯示,攻擊者是透過2000多個不同的IP網址,登入並接觸(Access)了20萬4552名酷澎台灣用戶的個資,包括姓名、電子郵件、電話號碼、配送地址,及部份訂單紀錄等。
三、依先前酷澎台灣表示,台灣與韓國的用戶資料庫有區隔,惟檢查結果發現,不同資料庫之備援金鑰係相同,爰可使用同一備援金鑰即可存取。
四、酷澎未刪除離職員工之權限及定期更換備援金鑰,爰離職員工仍可以原取得之備援金鑰進行資料庫存取。
後續數產署將依《個人資料保護法》及《數位經濟相關產業個人資料檔案安全維護管理辦法》等相關規定,持續對鑑識報告及各項情事進行查核,並就調查事證結果,依法定程序辦理後續裁處事宜。
讀者迴響