Coupang泄露3370万用户数据,管理失职引发安全危机
【编者按】在数字化浪潮席卷全球的今天,个人隐私安全已成为悬在每个人头顶的达摩克利斯之剑。去年,韩国电商巨头Coupang曝出惊天数据泄露案,涉及超3370万用户,震动业界。调查结果近日出炉,真相令人咋舌:竟因一名离职开发者留下的“钥匙”未被及时收回,导致公司安全大门洞开长达七个月。更令人担忧的是,即便东窗事发后,Coupang的安全体系依然漏洞百出。这起事件不仅是一记响亮的警钟,敲给所有依赖数字服务的企业,更是对亿万用户隐私权的严峻拷问。当我们在享受便捷的线上购物时,是否想过,我们的姓名、电话、住址乃至密码,可能正暴露在无形的风险之中?本文将深入剖析这场“管理灾难”的来龙去脉,揭示巨头光环下的安全隐忧。
去年发生的Coupang个人信息泄露事件,原因现已查明,是由于明确的管理疏忽所致——即使在负责认证相关业务的开发者辞职后,Coupang也未能立即更新认证签名密钥。科学和信息通信技术部(官民联合调查组)于10日公布了“Coupang信息通信网络侵害事故调查结果”。根据科学和信息通信技术部的说法,从去年4月14日至11月8日,约有3370万名客户的信息从Coupang泄露。科学和信息通信技术部已就Coupang违反数据保存命令的行为请求执法机构进行调查,并计划就延迟报告泄露事件处以罚款。
详细信息显示,Coupang的“编辑我的信息”页面泄露了33,673,817条包含姓名和电子邮件的用户数据。同时,也确认了多项违反《个人信息保护法》的行为,包括未经授权访问个人信息。包含姓名、电话号码、地址以及用特殊字符去标识化的公共入口密码的送货地址列表页面,被访问了148,056,502次,导致信息泄露。该送货地址列表页面还包含了家庭成员和朋友等第三方的信息,包括他们的姓名、电话号码和送货地址。包含姓名、电话号码、地址和公共入口密码的送货地址修改页面,被攻击者访问了50,474次。包含最近购买商品的订单列表页面被访问了102,682次。
调查组根据网络访问记录计算了泄露规模。个人信息泄露的确切规模将由个人信息保护委员会最终确定并公布。
◇ Coupang“脆弱的服务器认证和管理系统”导致信息被盗…“系统仍然存在不足”
这位前Coupang员工(攻击者)利用Coupang服务器认证系统的漏洞和松散的管理实践来获取个人信息。对攻击者存储设备(两块HDD和两块SSD)的取证分析显示,其使用了Coupang的用户特定识别号码和伪造的“电子出入证”。该前员工是一名软件开发人员,在Coupang任职期间曾负责为系统备份设计和开发用户认证系统。他完全清楚Coupang认证和签名密钥管理系统的漏洞。辞职后,他利用在职期间窃取的签名密钥和内部信息伪造了“电子出入证”。从1月5日到20日,他在没有正常登录程序的情况下绕过Coupang的认证系统,进行了全面攻击的初步测试。
大约三个月后,从4月14日开始,大规模信息泄露持续了七个月。攻击者使用自动化的网络爬虫工具提取海量数据,共利用了2,313个IP地址。科学和信息通信技术部确认,攻击者编写了能够收集信息并传输到外部服务器的攻击脚本。此外,他们还证实,伪造的“电子出入证”允许未经授权访问其他用户账户,并将泄露的信息(如订单列表)传输到海外云服务器。然而,科学和信息通信技术部表示,由于缺乏记录,无法确认是否发生了实际的数据传输。
在此过程中,Coupang没有任何程序来检测或阻止“电子出入证”的伪造。尽管Coupang本应在开发者辞职后立即更新签名密钥以防止其被滥用,但公司缺乏适当的系统和程序。尽管同一服务器用户识别号被重复使用,并且出现了使用伪造“电子出入证”的异常访问尝试,Coupang仍未能检测或阻止信息泄露。
然而,Coupang的认证和密钥管理系统仍然存在不足。即使在事件发生后,Coupang也只是解决了通过模拟黑客测试发现的问题,并未对系统性问题(如改进用户认证系统)进行全面审查。调查组通过对一名现任开发人员的笔记本电脑进行取证分析确认,本应仅存储在密钥管理系统中的签名密钥,却被保存在(硬编码)该开发人员的笔记本电脑上。此外,Coupang缺乏追踪签名密钥使用历史的系统,因此无法识别未经授权的使用。调查组还发现,Coupang没有分离开发和运营角色,授予开发人员访问实际运营中使用的“密钥管理系统”的权限。内部规定仅定义了密钥的三年生命周期,没有基于用户信息变更而更换密钥的详细操作程序。
科学和信息通信技术部表示:“Coupang必须引入针对‘电子出入证’的检测和阻断系统,加强认证密钥管理和控制系统,明确操作标准,并进行定期检查。此外,应加强对异常访问尝试的监控,并建立和完善日志存储管理政策。”
◇ 延迟报告被罚款,因违反数据保存命令被请求调查
科学和信息通信技术部已就Coupang违反数据保存命令的行为请求执法机构进行调查,并计划根据《信息通信网络法》就延迟报告泄露事件处以罚款。
Coupang于去年11月19日晚9点35分向韩国互联网振兴院报告了此次泄露事件。然而,这距离该事件于同年11月17日下午4点向Coupang首席信息安全官报告的时间已超过24小时。数据保存命令也未得到遵守。在事件报告后,科学和信息通信技术部于去年11月19日晚10点34分立即根据《信息通信网络法》命令Coupang保存数据以供泄露分析。然而,Coupang未能调整其访问记录的自动日志存储策略,导致约五个月(2024年7月至11月)的网络访问日志以及2025年5月23日至6月2日期间的应用程序访问日志被删除。
科学和信息通信技术部表示:“将要求Coupang在本月底前提交预防计划,并计划于今年6月至7月检查其执行情况。根据检查结果,对于任何未解决的问题,将根据《信息通信网络法》第48-4条下令采取纠正措施。”
本文由吉伊网原创发布,未经许可,不得转载!
本文链接:http://www.jkiyi.com/gj/9201.html
