Южная Корея требует от Coupang устранить уязвимости в безопасности в ходе расследования утечки данных

Хикиён Ян и Хёнджу Чжин

СЕУЛ, 10 февраля (Reuters) — Во вторник южнокорейские власти заявили, что гигант электронной коммерции Coupang должен устранить уязвимости в своих системах безопасности, которые, по их мнению, стали причиной масштабной утечки данных в компании.

Объявляя о первых результатах расследования инцидента, проведённого правительством, Министерство науки возложило ответственность за утечку на бывшего инженера Coupang, который, согласно имеющимся данным, был осведомлён об уязвимостях в системе аутентификации. В министерстве отметили, что в январе 2025 года он пытался получить доступ к системе — за три месяца до утечки данных, которая началась в апреле и продолжалась до ноября.

Coupang Korea, управляемая зарегистрированной в США Coupang Inc, пережила одну из самых масштабных утечек данных в истории Южной Кореи — это увеличило торговое напряжение с Вашингтоном после того, как американские официальные лица выразили обеспокоенность по поводу обращения с американскими технологическими компаниями.

Министерство сообщило, что расследование подтвердило утечку персональных данных примерно 33,7 миллиона клиентов.

«Злоумышленник использовал уязвимости в системе аутентификации пользователей для доступа к аккаунтам без корректного входа и вызвал масштабную несанкционированную утечку информации», — говорится в заявлении министерства.

Министерство обвинило бывшего сотрудника в краже внутреннего ключа безопасности, известного как signing key, который, как утверждается, использовался для создания поддельных токенов входа и получения несанкционированного доступа к аккаунтам клиентов.

Также было отмечено, что бывший инженер разрабатывал отдельные части системы аутентификации пользователей Coupang, а компания не обнаружила факт подделки логинов и не сменила signing keys после ухода разработчика.

«Система проверки поддельных или изменённых электронных карт доступа была недостаточной, что затрудняло заблаговременное обнаружение или блокировку атак», — заявило министерство.

«Coupang необходимо внедрить систему обнаружения и блокировки электронных карт доступа, которые не проходят стандартную процедуру выдачи», — добавили в ведомстве.

Отдельные расследования утечки данных продолжают полиция и национальный орган по надзору за персональными данными.

Министерство обвинило Coupang в нарушении закона об информационных сетях, так как компания задержала уведомление о нарушении более чем на 24 часа, как это требуется по закону. Министерство планирует наложить административный штраф до 30 миллионов вон ($20,596) в соответствии с законом. Сообщается, что Coupang узнала об утечке данных в 16:00 17 ноября и уведомила власти только в 21:35 19 ноября.

Также компания обвиняется в невыполнении предписания по сохранению данных для анализа причин утечки — дело передано в компетентные органы для дальнейшего расследования.