【安全资讯】路易威登、迪奥、蒂芙尼因数据泄露被韩国重罚2500万美元

概要：

韩国个人信息保护委员会近日对奢侈品巨头LVMH集团旗下的路易威登、迪奥和蒂芙尼品牌处以总计2500万美元的巨额罚款，原因是其未能实施充分的安全措施，导致超过550万客户的敏感数据泄露。这一事件凸显了企业在采用云端SaaS服务时，仍需承担数据安全管理的主体责任，任何疏忽都可能引发严重的合规与声誉风险。

主要内容：

此次数据泄露事件源于黑客针对LVMH集团旗下品牌所使用的基于云端的客户管理服务（SaaS）发起的攻击。攻击者通过不同的初始入侵手段，最终都获得了对这些SaaS平台的未授权访问权限。

在路易威登的案例中，攻击始于一名员工的设备感染了恶意软件。该恶意软件进而入侵了其使用的SaaS工具，导致360万客户数据泄露。调查将此攻击活动与ShinyHunters黑客组织关联，该组织以针对Salesforce等平台而闻名。

迪奥的泄露则源于一次针对客服员工的钓鱼攻击。员工被诱骗向黑客提供了SaaS系统的访问权限，致使195万客户数据暴露。调查发现，迪奥未实施IP白名单、未限制批量数据下载，且未检查访问日志，导致泄露事件在发生超过三个月后才被发现。

蒂芙尼遭受了类似的语音钓鱼攻击，导致4600名客户信息泄露。三家公司的共同问题在于，均未实施基于IP的访问控制、未限制批量数据下载，且未在法律规定的时限内通知受影响的个人。韩国监管机构强调，使用SaaS解决方案并不能免除公司安全管理客户数据的责任。此次罚款旨在警示所有企业，必须对第三方服务中的数据安全保持警惕并采取主动防护措施。