【大紀元2026年02月11日訊】(大紀元記者劉雅嫻報導)韓國科學技術信息通信部(以下簡稱「科技通信部」)2月10日公布了有關Coupang個人信息洩露事故的官民聯合調查結果。調查確認,Coupang前員工非法外洩約3367萬筆個人資料,犯罪嫌疑人查看相關個人信息近1.5億次。
本次調查對象包括4台疑似被用於作案的電腦存儲設備,以及目前仍在職的Coupang開發人員的筆記本電腦。 調查組對這些設備進行了取證分析。
調查發現,自2025年11月29日起,對留存的Coupang網頁訪問紀錄25.6TB、約6642億筆訪問紀錄進行分析後確認,在Coupang的「個人信息修改頁面」中,約3367萬條用戶姓名和電子郵箱信息遭洩露。犯罪嫌疑人查詢被盜個人信息約1億4800萬次。這些信息包含用戶姓名、電話號碼、收貨地址以及用特殊字符進行去標識化處理的共同玄關密碼(多戶住宅使用的出入門禁密碼)等。
其中,最有可能被用於二次犯罪的共同玄關密碼、姓名、電話號碼、地址等信息,被犯罪嫌疑人查看約5萬次。被盜用戶的購買商品清單亦被查詢約10萬次。
調查組確認的實際洩露規模,小於去年11月25日一名Coupang前員工通過電子郵件主張的洩露數據量。該員工當時在郵件中聲稱:「已確認超過1.2億條收貨地址資料、5.6億條訂單資料,以及3300萬條以上的電子郵箱地址。」
調查組指出,該員工在任職Coupang期間,曾負責系統故障時用於備份的用戶認證系統設計。自去年1月起,他發現Coupang伺服器存在認證漏洞,並進行攻擊可行性測試,隨後自去年4月14日起至11月8日非法盜取大規模用戶資料。
調查組指出,犯罪嫌疑人利用用戶認證漏洞,在未正常登入程序的情況下直接查詢用戶信息,進而造成大規模個人資訊洩露。
此外,Coupang在事前進行的模擬駭客攻擊中,已發現未依照正常簽發流程生成的「電子出入證」,該電子出入證存在被用於網路攻擊的風險,但公司並未加以彌補這個漏洞;且在犯罪嫌疑人離職後,未即時更新相關認證密鑰,導致該前員工在離職後仍可登入相關系統。
調查組要求Coupang加強對員工認證密鑰和使用紀錄管理,強化對異常訪問的監測,並定期檢視內部資訊安全規範的落實情況。
同時,由於Coupang於去年11月17日下午4時發現資安事故並向最高資訊安全負責人(CISO)報告後,直到兩天後的11月19日晚間9時35分才向政府主管機關通報,違反韓國政府關於「24 小時內通報」個人信息洩露案件的規定。政府計劃對Coupang處以行政罰款。
此外,科技通信部於去年11月19日為調查信息泄露原因,命令Coupang保存相關資料,但Coupang未予執行,導致自2024年7月起約5個月的網頁訪問記錄被刪除,以及2025年5月23日至6月2日的應用程序訪問記錄消失。科技通信部已經向調查機關申請調查相關情況。
科技通信部表示,將依據本次調查結果,要求Coupang於本月內提交防止類似事情再發生的履行計劃,並計劃在今年6月至7月對落實情況進行檢查。
責任編輯:沐歌
