Hàn Quốc yêu cầu Coupang khắc phục lỗ hổng bảo mật trong cuộc điều tra vụ rò rỉ dữ liệu

Bởi Heekyong Yang và Hyunjoo Jin

SEOUL, ngày 10 tháng 2 (Reuters) - Các cơ quan chức năng Hàn Quốc hôm thứ Ba cho biết tập đoàn thương mại điện tử Coupang cần khắc phục các lỗ hổng trong hệ thống bảo mật mà họ cho là nguyên nhân gây ra vụ rò rỉ dữ liệu quy mô lớn tại công ty này.

Công bố những phát hiện đầu tiên của cuộc điều tra do chính phủ dẫn dắt về vụ việc, Bộ Khoa học cho biết nguyên nhân vụ rò rỉ là do một kỹ sư cũ của Coupang, người được cho là đã biết về các lỗ hổng trong hệ thống xác thực, trích dẫn hồ sơ cho thấy người này đã cố gắng truy cập vào tháng 1 năm 2025, ba tháng trước khi xảy ra vụ rò rỉ dữ liệu vào tháng 4 kéo dài đến tháng 11.

Coupang Korea, được điều hành bởi Coupang Inc niêm yết tại Mỹ, đã phải chịu một trong những vụ rò rỉ dữ liệu tồi tệ nhất của Hàn Quốc, gia tăng căng thẳng thương mại với Washington sau khi các quan chức Mỹ bày tỏ quan ngại về cách đối xử với các công ty công nghệ của Mỹ.

Bộ này cho biết cuộc điều tra xác nhận dữ liệu cá nhân của khoảng 33,7 triệu khách hàng đã bị rò rỉ.

"Kẻ tấn công đã lợi dụng các lỗ hổng xác thực người dùng để truy cập vào tài khoản người dùng mà không cần đăng nhập hợp lệ và gây ra các vụ rò rỉ thông tin trái phép quy mô lớn," bộ này cho biết.

Bộ này cáo buộc cựu nhân viên đã đánh cắp một mã bảo mật nội bộ, gọi là khóa ký, được sử dụng để tạo ra các mã đăng nhập giả mạo và truy cập trái phép vào tài khoản khách hàng.

Bộ cho biết kỹ sư từng là nhân viên này đã thiết kế và phát triển một phần hệ thống xác thực người dùng của Coupang, và công ty đã không phát hiện việc đăng nhập giả mạo cũng như không thay đổi khóa ký sau khi lập trình viên này rời đi.

"Hệ thống xác minh thẻ truy cập điện tử bị giả mạo hoặc chỉnh sửa là không đầy đủ, khiến việc phát hiện hoặc ngăn chặn các cuộc tấn công trước trở nên khó khăn," bộ cho biết.

"Coupang cần triển khai một hệ thống phát hiện và chặn các thẻ truy cập điện tử không thông qua quy trình cấp phát thông thường," bộ nhấn mạnh.

Các cuộc điều tra riêng biệt về vụ rò rỉ dữ liệu của cảnh sát và cơ quan giám sát dữ liệu cá nhân quốc gia vẫn đang tiếp tục.

Bộ này cáo buộc Coupang vi phạm luật mạng thông tin khi chậm báo cáo vụ rò rỉ quá thời hạn 24 giờ quy định, đồng thời cho biết sẽ áp dụng mức phạt hành chính lên tới 30 triệu won (20.596 USD) theo luật. Coupang đã phát hiện vụ rò rỉ dữ liệu vào lúc 16:00 ngày 17 tháng 11 và báo cáo với nhà chức trách vào lúc 21:35 ngày 19 tháng 11, bộ cho biết.

Bộ cũng cáo buộc Coupang không tuân thủ lệnh bảo tồn dữ liệu để phân tích nguyên nhân vụ rò rỉ dữ liệu và đã chuyển vụ việc cho cơ quan chức năng điều tra.