- Vụ rò rỉ dữ liệu của Coupang đã mở rộng tới 33,7 triệu hồ sơ khách hàng.
Vụ rò rỉ dữ liệu lớn tại Coupang đã lên tới 33,7 triệu để lộ ra hồ sơ khách hàng, ảnh hưởng đến khoảng ba trong số bốn người lớn ở Hàn Quốc. Quy mô đã gây lo ngại không chỉ vì con số mà còn vì công ty đã bị phạt cho các sự cố dữ liệu trong quá khứ.
Các quan chức cho biết vụ tấn công lợi dụng một điểm yếu trong hệ thống xác thực của Coupang. Trong cuộc họp giao ban hôm Chủ nhật, Bộ trưởng Bộ Khoa học và CNTT Bae Kyung-hoon cho biết các nhà điều tra đã phát hiện ra rằng “kẻ tấn công đã khai thác lỗ hổng xác thực trong máy chủ của Coupang và truy cập hơn 30 triệu tài khoản khách hàng – bao gồm tên, địa chỉ email, địa chỉ giao hàng và số điện thoại – mà không cần đăng nhập”. Ông cho biết một lực lượng đặc nhiệm chung đã được hình thành để xem xét vụ việc và ôn tập liệu Coupang có thất bại không theo quy tắc về việc bảo vệ thông tin cá nhân.
Các nhà chức trách đã truy tìm hoạt động đáng ngờ kể từ ngày 24 tháng 6. Việc truy cập đến từ các máy chủ ở nước ngoài và tiếp tục trong nhiều tháng.
Coupang cho biết họ đã từng “chặn đường truy cập mà bên thứ ba đã sử dụng” vấn đề đã được xác nhận. Nhưng những tuyên bố thay đổi và phát hiện chậm chạp của công ty đã khiến khách hàng không khỏi lo lắng. Khi Coupang lần đầu tiên tiết lộ vấn đề vào ngày 20 tháng 11, hãng cho biết chỉ có 4.500 tài khoản bị ảnh hưởng. Mất gần 10 ngày trước công ty đã cập nhật con số lên tới 33,7 triệu.
Con số cuối cùng còn lớn hơn lượng khách hàng đang hoạt động của Coupang. Trong báo cáo quý 3, công ty đã liệt kê 24,7 triệu khách hàng đang hoạt động trong lĩnh vực kinh doanh thương mại sản phẩm của mình. Nó cũng vượt quá lớn nhất tiếp xúc với dữ liệu trước đó bị phạt ở Hàn Quốc – trường hợp của SK Telecom liên quan đến 23,24 triệu hồ sơ và phạt 134,8 tỷ won.
Vụ việc này đang được chú ý nhiều hơn vì vi phạm dường như đã xảy ra. đến từ bên trong công ty. Coupang cho biết vào ngày 20/11 rằng họ không tìm thấy dấu hiệu nào của sự xâm nhập từ bên ngoài. Phương tiện truyền thông địa phương sau đó đưa tin rằng một cựu nhân viên với quốc tịch Trung Quốc đã đang được điều tra.
“Tôi chân thành xin lỗi vì đã gây ra sự bất tiện và lo lắng đáng kể cho công chúng,” Giám đốc điều hành Park Dae-jun cho biết vào Chủ nhật. “Tôi không thể bình luận vì nó liên quan đến một cuộc điều tra đang diễn ra. Vấn đề sẽ trở nên rõ ràng thông qua cuộc điều tra.”
Coupang có khoảng 10.000 nhân viên văn phòng, nhưng chỉ một nhóm hạn chế nhân viên hệ thống và CNTT mới được phép xem hồ sơ khách hàng. Công ty cho biết họ đã cố gắng thắt chặt cơ cấu của mình bằng cách phân công các giám đốc điều hành riêng biệt BẰNG giám đốc an ninh thông tin và giám đốc quyền riêng tư. Mặc dù vậy, các chuyên gia cho rằng mối đe dọa nội bộ có thể vượt qua các lớp bảo vệ kỹ thuật nếu khả năng kiểm soát truy cập yếu.
Một người trong ngành cho biết: “Chúng tôi có thể cho rằng việc bảo vệ dữ liệu của Coupang là kỹ lưỡng vì công ty đã thuê nhân viên CNTT đắt tiền”. “Nhưng bảo vệ dữ liệu khách hàng là nền tảng của những điều cơ bản. Tôi không chắc liệu họ có quản lý quyền truy cập đúng cách hay không.”
Những người khác chỉ ra vấn đề tương tự.
Park Choon-sik, giáo sư an ninh mạng tại Đại học Phụ nữ Seoul, cho biết: “Nếu vi phạm này xảy ra thông qua một nhân viên, điều đó cho thấy rằng quản lý an ninh nội bộ đã không hoạt động đầy đủ”. “Các sự cố liên quan đến nội bộ có thể gây ra thiệt hại đáng kể hơn các cuộc tấn công từ bên ngoài.”
Thành tích của Coupang làm tăng thêm sức nặng cho những lời chỉ trích.
— Vào năm 2021, một bản cập nhật cho ứng dụng của nó đã tiết lộ tên và địa chỉ giao hàng của 14 khách hàng trong khoảng một giờ.
— Từ năm 2020 đến năm 2021, tên và số điện thoại của khoảng 135.000 tài xế Coupang Eats đã được chuyển cho các nhà hàng.
— Và vào cuối năm 2023, hệ thống người bán đã tiết lộ thông tin cá nhân của hơn 22.000 khách hàng.
Cùng với nhau, những sai lầm đó đã dẫn đến khoảng 1,6 tỷ won tiền phạt và tiền phạt. Trong cùng thời gian, doanh thu của Coupang đi qua 41 nghìn tỷ won và tiếp tục tăng, trong khi chi tiêu cho an ninh thông tin ngày càng tăng với tốc độ chậm hơn.
KISA cho biết Coupang đã phân bổ khoảng 89 tỷ won cho an ninh mạng trong năm nay, chiếm 4,6% tổng ngân sách CNTT của công ty. Mặc dù công ty đã tăng chi tiêu cho an ninh theo giá trị tuyệt đối, nhưng phần ngân sách dành cho CNTT của công ty dùng cho an ninh có đánh rơi mỗi năm: 7,1% vào năm 2022, 6,9% vào năm 2023 và 5,6% vào năm ngoái.
Khi so sánh Cùng với các công ty công nghệ lớn khác, Coupang cũng đầu tư một phần doanh thu nhỏ hơn vào bảo mật. Năm ngoái, họ chi khoảng 0,2% doanh thu cho bảo mật, trong khi Kakao và SK Telecom là gần 0,7%, còn Naver và KT là khoảng 0,4%.
Park nói: “An ninh mạng đòi hỏi sự đầu tư nhất quán thay vì chi tiêu tạm thời sau một sự cố. “Chi tiêu an ninh có chức năng như một khoản đầu tư. Coupang cần tăng ngân sách an ninh mạng và củng cố nhận thức về an ninh nội bộ.”
Các nhà nghiên cứu khác cho biết chi tiêu chỉ một giải quyết được một phần vấn đề.
Youm Heung-youl từ Đại học Soonchunhyang cho biết: “Chính phủ có thể tăng cường các tiêu chuẩn, nhưng các công ty phải thực hiện các biện pháp đối phó của riêng mình để giải quyết các lỗ hổng”. “Cuộc điều tra cần xác định nguyên nhân chính xác của vấn đề và thiết lập các biện pháp rõ ràng để giải quyết.”
Bạn muốn khám phá cách IoT đang chuyển đổi viễn thông và kết nối? Tham gia Triển lãm công nghệ IoT ở Amsterdam, California và Luân Đôn. Khám phá những đổi mới trong 5G, điện toán biên và IoT đang định hình tương lai của mạng và dịch vụ như thế nào. Sự kiện là một phần của TechEx và cùng địa điểm với các hội nghị công nghệ hàng đầu khácbấm vào đây để biết thêm thông tin.
Tin tức viễn thông được cung cấp bởi Truyền thông TechForge. Khám phá các sự kiện và hội thảo trực tuyến về công nghệ doanh nghiệp sắp tới khác đây.
