Взлом аналога Amazon в Южной Корее привел к утечке данных почти всех ее взрослых жителей

В Южной Корее произошел один из самых масштабных в стране инцидентов утечки персональных данных за последние годы. Как пишет The Wall Street Journal, жертвой атаки стала крупнейшая в стране платформа электронной коммерции Coupang, местный аналог Amazon. В результате взлома были скомпрометированы данные до 34 млн пользовательских аккаунтов, что эквивалентно более 90% трудоспособного населения страны.

По данным издания, злоумышленник получил несанкционированный доступ к персональной информации практически всех взрослых жителей Южной Кореи — именам, телефонным номерам и даже кодам доступа в жилые здания. При этом утечка оставалась незамеченной почти пять месяцев и была выявлена лишь 18 ноября, после обращения одного из клиентов с жалобой на подозрительную активность.

Изначально Coupang заявила лишь о «раскрытии данных», затронувшем около 4,5 тысячи аккаунтов. Однако уже через несколько дней компания была вынуждена пересмотреть оценку масштаба инцидента. После критики со стороны корейских регуляторов формулировка была изменена, и компания официально признала произошедшее утечкой данных. Один из заголовков местных СМИ резюмировал ситуацию фразой: «Вся страна — жертва», указала WSJ.

Следствие установило, что предполагаемый злоумышленник ранее работал в Coupang в Южной Корее в качестве разработчика программного обеспечения, отвечавшего за системы аутентификации. Даже после ухода из компании около года назад он сохранил внутренний ключ доступа, позволявший ему беспрепятственно входить в системы Coupang и выглядеть как действующий сотрудник. Проникновение, осуществлявшееся с использованием зарубежных серверов, началось 24 июня.

По данным южнокорейских властей, подозреваемый — гражданин Китая, который покинул страну и в настоящее время скрывается. Его имя не называется. В компании подчеркивают, что злоумышленник не получил доступ к данным банковских карт или государственным идентификационным номерам.

WSJ пишет, что скандал уже привел к отставке руководителя Coupang, отвечавшего за операции в Южной Корее — ключевом для компании рынке. Параллельно продолжается несколько государственных расследований. Coupang принесла официальные извинения и заявила о намерении усилить меры кибербезопасности, пообещав сотрудничать со следственными органами.

Цена ошибки

На прошлой неделе полиция провела обыск в сеульском офисе Coupang в рамках расследования. Президент Южной Кореи Ли Чжэ Мен заявил, что действующие санкции за утечки персональных данных недостаточно жестки и должны быть усилены. По его словам, компании должны осознавать, что подобные инциденты могут иметь для них фатальные последствия, вплоть до банкротства.

Согласно южнокорейскому законодательству, Coupang может грозить штраф до 3% от среднего годового дохода за последние три года — около $750 млн, что стало бы рекордом для страны. Кроме того, антимонопольные органы проверяют, не усложнила ли компания процесс удаления аккаунтов после того, как информация об утечке стала публичной.

Coupang была основана в 2010 году выпускником Гарварда Бомом Кимом как сервис коллективных скидок по модели Groupon. Позднее компания переориентировалась на e-commerce, привлекла инвестиции SoftBank Group и в 2021 году провела одно из крупнейших IPO среди иностранных компаний на Нью-Йоркской фондовой бирже. Сегодня Coupang базируется в Сиэтле, зарегистрирована в Делавэре и развивает бизнес за пределами Южной Кореи — в том числе в Японии и на Тайване.

Подписка Coupang WOW в Южной Корее стоит около $5,5 в месяц и включает ночную доставку продуктов, стриминговый сервис и доставку еды из заведений.