【安全资讯】韩国电商巨头Coupang数据泄露事件影响3370万用户，引发数据保护质疑

概要：

韩国领先的电子商务平台Coupang近期披露了一起大规模数据泄露事件，波及3370万用户账户，相当于该国近三分之二的人口。这不仅是韩国电商史上最严重的安全事故，也可能导致高达12万亿韩元的巨额罚款。事件暴露了电商平台在处理交易记录、配送地址和支付方式等敏感数据时的保护漏洞，引发了用户和行业观察者的广泛担忧。

主要内容：

Coupang于11月29日确认，未经授权的访问导致了用户名、电话号码、电子邮件地址、配送地址簿及购买详情等信息的泄露。公司虽然在11月6日检测到异常访问，但直到12天后的11月18日才完全确认此次入侵。调查显示，攻击者通过海外服务器访问客户数据的时间长达近五个月，从6月24日持续至11月8日。一名前Coupang员工被列为主要嫌疑人，其在离职后仍保留了身份验证服务的访问密钥，从而为数据窃取提供了便利。

根据韩国现行《个人信息保护法》，泄露的信息并非法定强制加密内容。该法律仅要求对信用卡号、居民身份证号等支付数据和唯一标识符进行加密。然而，姓名、地址、电话、邮箱及购买历史等信息的组合，可能带来严重安全风险。分析购买历史可揭示用户的生活模式和家庭结构，结合联系方式后易导致鱼叉式网络钓鱼甚至人身威胁。若与先前泄露的支付信息交叉比对，还可能实现精准的个人再识别攻击。

此次事件并非外部网络攻击，而是内部人员滥用合法凭证所致。公司漫长的检测周期也可能被视为违反了强制性安全措施，或将面临额外处罚。根据韩国修订后的数据保护法，罚款最高可达年收入的3%，对Coupang而言，金额可能在1500亿至1.2万亿韩元之间。事件公开仅两天后，集体诉讼行动已开始酝酿，超过20万人加入了相关在线论坛。这起事件凸显了即使非法律强制加密的数据，一旦组合泄露仍构成重大风险，企业需考虑超越法律最低要求，采用可靠的加密解决方案来保护客户数据。