Південна Корея заявляє, що Coupang повинен усунути недоліки безпеки під час розслідування витоку даних

Автори: Heekyong Yang та Hyunjoo Jin

СЕУЛ, 10 лютого (Reuters) – Південнокорейська влада у вівторок заявила, що гіганту електронної комерції Coupang необхідно усунути вразливості у своїх системах безпеки, які, за їх словами, стали причиною масштабного витоку даних у компанії.

Оголошуючи перші результати розслідування інциденту, проведеного урядом, Міністерство науки звинуватило у витоку колишнього інженера Coupang, який, за їх даними, знав про вразливості в системі автентифікації, посилаючись на записи про те, що він намагався отримати доступ у січні 2025 року, за три місяці до витоку даних у квітні, який тривав до листопада.

Coupang Korea, дочірня компанія американської Coupang Inc, зазнала одного з наймасштабніших витоків даних у Південній Кореї, що посилило торгові тертя з Вашингтоном після того, як американські чиновники висловили занепокоєння щодо поводження з американськими технологічними компаніями.

Міністерство повідомило, що розслідування підтвердило – особисті дані близько 33,7 мільйона клієнтів були скомпрометовані.

“Зловмисник використав вразливості автентифікації користувачів для доступу до облікових записів без належного входу та спричинив масштабний несанкціонований витік інформації”, — йдеться у повідомленні міністерства.

Міністерство звинуватило колишнього співробітника у викраденні внутрішнього ключа безпеки, відомого як підписний ключ, який, за їх словами, використовувався для створення підроблених токенів входу та отримання несанкціонованого доступу до облікових записів клієнтів.

Також зазначено, що колишній інженер розробляв та впроваджував частини системи автентифікації користувачів Coupang, а компанія не виявила підроблених входів і не змінила підписні ключі після звільнення розробника.

“Система верифікації підроблених або змінених електронних карт доступу була недостатньою, що ускладнювало виявлення або блокування атак заздалегідь”, — додало міністерство.

“Coupang необхідно впровадити систему виявлення та блокування електронних карт доступу, які не проходять стандартну процедуру видачі”, — йдеться у заяві.

Окремі розслідування витоку даних поліцією та національним наглядовим органом із захисту персональних даних тривають.

Міністерство звинуватило Coupang у порушенні закону про інформаційні мережі через затримку повідомлення про інцидент понад встановлений 24-годинний термін, додавши, що планує накласти адміністративний штраф до 30 мільйонів вон (20 596 доларів США) згідно із законом. За даними міністерства, Coupang дізналася про витік даних о 16:00 17 листопада, а повідомила про це владі о 21:35 19 листопада.

Компанію також звинуватили у невиконанні наказу про збереження даних для аналізу причин витоку та передали цю справу на розслідування відповідним органам.