SG.hu
Egész Dél-Koreát megrázta a helyi e-kereskedelmi óriást érintő adatlopás
A Coupang hónapokig nem vette észre a hackertámadást, amely a lakosság kétharmadát, több mint harminchárommillió felhasználót érintett. Az adatvédelmi kudarc nyomán nemzeti ébredés van a kiberbiztonság terén, új szabályozások és keményebb felelősségre vonás következhet az országban.
A sokak által a „dél-koreai Amazonként” emlegetett Coupang az elmúlt években elképesztő tempóban nőtt, „rakétafutárként” hirdetett éjszakai kiszállítási szolgáltatása pedig a mindennapok részévé vált. A gyorsaság azonban különösen kellemetlen kontrasztnak bizonyult, amikor kiderült, hogy a cég hónapokig észre sem vette a rendszereibe mélyen beágyazódott hackertámadást. A hatóságok vizsgálata szerint a behatolás már júniusban elkezdődött a cég külföldi szerverein keresztül. A vállalat azonban csak novemberben észlelte a problémát, ami komoly felháborodást váltott ki a közvélemény és a politikai szereplők körében egyaránt. A cég dél-koreai leányvállalatának vezérigazgatója a botrány hatására december 10-én lemondott, de a vállalat koreai-amerikai alapítója és elnöke, Bom Kim eddig nem kért személyesen bocsánatot.
A hackerek több mint 33 millió felhasználói fiók adataihoz jutottak hozzá. Ezek között szerepeltek nevek, telefonszámok, e-mail-címek és szállítási adatok. A pénzügyi adatok - például hitelkártyaszámok vagy jelszavak - a vállalat szerint nem kerültek veszélybe. A dél-koreai rendőrség ennek ellenére az ország történetének legnagyobb adatszivárgásaként jellemezte az ügyet, és szakértők figyelmeztettek, hogy a kiszivárgott adatok alkalmasak lehetnek célzott adathalász támadásokra. Egy parlamenti képviselő úgy fogalmazott: olyan ez, mintha „majdnem minden koreai otthonának kulcsát ellopták volna”.
Park Dae-jun
A parlamenti vizsgálóbizottság meghallgatásain különösen megdöbbentő részletek kerültek napvilágra. Belső jelentések szerint a támadás mögött egy korábbi alkalmazott állhatott, aki szoftverfejlesztőként dolgozott a cégnél, és hozzáfért egy olyan titkosítási kulcshoz, amelynek segítségével hamisított hitelesítési tokeneket generálhatott. A vállalat információbiztonsági vezetője elmondta, hogy ez a jogosultság kiemelten érzékeny volt, és a kulcs a fejlesztő távozása után is érvényben maradt. A gyanúsított - egy kínai állampolgár - 2023 decemberében hagyta el a céget, és a hatóságok szerint később visszatért Kínába.
Az adatvédelmi incidens nemcsak a Coupang működésére, hanem a dél-koreai kormányzati kommunikációra is erős nyomást helyezett. Az ország elnöke, Lee Jae Myung „megdöbbentőnek” nevezte, hogy az ország legnagyobb online áruháza öt hónapon át nem észlelte a betörést. Szerinte a vállalatoknak gyökeresen meg kell változtatniuk azt a gyakorlatot, amely szerint a személyes adatok megfelelő védelme háttérbe szorul, pedig a digitális korszakban ez az egyik legfontosabb dolog. Kijelentette: Dél-Korea számára ez figyelmeztetés, és egyben lehetőség arra, hogy erősítse a büntetőjogi és adatvédelmi szabályozást.
A Coupang közleményében azt hangsúlyozta, hogy a november 18-i észlelést követően azonnal jelentette az incidenst, blokkolta a jogosulatlan hozzáférést és megerősítette a belső ellenőrzési rendszereket. Ígéretet tett arra is, hogy jelentősen növeli kiberbiztonsági befektetéseit, és mindent megtesz az ügyfelek bizalmának visszaszerzéséért. Azonban a cégvezetés lassú és távolságtartó reakciója miatt a közvélemény kritikája nem csillapodik. Különösen sokan kifogásolják, hogy az alapító, Bom Kim még nem kért nyilvánosan bocsánatot. A parlament a jövő héten újabb meghallgatásra idézte be.
A dél-koreai cégeknél nem ez az első súlyos kibertámadás az utóbbi időben. Idén a legnagyobb telekommunikációs szolgáltató, az SK Telecom 97 millió dolláros bírságot kapott egy olyan incidensért, amely 25 millió ügyfelet érintett. A KT és a Lotte Card szintén jelentős adatvesztést szenvedett el, a vezető kriptotőzsde, az Upbit pedig novemberben 44,5 milliárd won értékű kriptovalutát veszített egy hackertámadás során. A pénzügyi felügyelet vezetője szerint a koreai cégek kiberbiztonsági beruházásai „kirívóan elégtelenek” a hasonló méretű amerikai vállalatokhoz képest.
Szakértők úgy vélik, a vállalatok gyakran csak akkor kezdik komolyan venni a digitális védekezést, amikor már bekövetkezett a baj, pedig a megelőzés lenne kulcsfontosságú. A dél-koreai elnöki hivatal szerint a mostani és korábbi esetek egyértelműen azt mutatják, hogy strukturális problémák vannak a személyes adatok védelmét szabályozó rendszerben, és a szankciók nem elég visszatartó erejűek. A törvények ugyan lehetővé teszik a vállalatok bevételének akár 3 százalékát kitevő bírság kiszabását, illetve az ötszörös kártérítés megítélését különösen súlyos vagy gondatlan esetekben, a gyakorlatban azonban ezeket ritkán alkalmazzák. Egyes képviselők most azt sürgetik, hogy a Coupangra 1,2 billió wont is elérő büntetést szabjanak ki, mert csak így lehet valódi példát statuálni.
A botrány a Coupang fogyasztói bázisára is hatással volt. Egy piackutató cég szerint a vállalat napi aktív felhasználóinak száma közel 2 millióval csökkent, 16 millióra. A JP Morgan elemzői mindazonáltal úgy vélik, a tömeges elvándorlás valószínűtlen, mert a Coupang domináns piaci pozícióval rendelkezik, és a koreai vásárlók általában kevésbé érzékenyek az adatvédelmi incidensekre, mint más országok fogyasztói. A cég a helyi e-kereskedelmi piac több mint ötödét uralja, megelőzve legnagyobb hazai riválisát, a Navert.
A bizalomvesztés azonban sokaknál személyes döntésekben is megmutatkozik. Egy szöuli irodai dolgozó arról számolt be, hogy felmondta Coupang-tagságát tiltakozásként. Mint mondta: szereti a cég hajnali élelmiszer-kiszállítását, de csalódást keltőnek tartja a reakciót, és azt, hogy senki sem vállal valódi felelősséget. „Koreában keresik a pénzt, mégsem áll ki senki bocsánatot kérni” - fogalmazott.
A sokak által a „dél-koreai Amazonként” emlegetett Coupang az elmúlt években elképesztő tempóban nőtt, „rakétafutárként” hirdetett éjszakai kiszállítási szolgáltatása pedig a mindennapok részévé vált. A gyorsaság azonban különösen kellemetlen kontrasztnak bizonyult, amikor kiderült, hogy a cég hónapokig észre sem vette a rendszereibe mélyen beágyazódott hackertámadást. A hatóságok vizsgálata szerint a behatolás már júniusban elkezdődött a cég külföldi szerverein keresztül. A vállalat azonban csak novemberben észlelte a problémát, ami komoly felháborodást váltott ki a közvélemény és a politikai szereplők körében egyaránt. A cég dél-koreai leányvállalatának vezérigazgatója a botrány hatására december 10-én lemondott, de a vállalat koreai-amerikai alapítója és elnöke, Bom Kim eddig nem kért személyesen bocsánatot.
A hackerek több mint 33 millió felhasználói fiók adataihoz jutottak hozzá. Ezek között szerepeltek nevek, telefonszámok, e-mail-címek és szállítási adatok. A pénzügyi adatok - például hitelkártyaszámok vagy jelszavak - a vállalat szerint nem kerültek veszélybe. A dél-koreai rendőrség ennek ellenére az ország történetének legnagyobb adatszivárgásaként jellemezte az ügyet, és szakértők figyelmeztettek, hogy a kiszivárgott adatok alkalmasak lehetnek célzott adathalász támadásokra. Egy parlamenti képviselő úgy fogalmazott: olyan ez, mintha „majdnem minden koreai otthonának kulcsát ellopták volna”.
Park Dae-jun
A parlamenti vizsgálóbizottság meghallgatásain különösen megdöbbentő részletek kerültek napvilágra. Belső jelentések szerint a támadás mögött egy korábbi alkalmazott állhatott, aki szoftverfejlesztőként dolgozott a cégnél, és hozzáfért egy olyan titkosítási kulcshoz, amelynek segítségével hamisított hitelesítési tokeneket generálhatott. A vállalat információbiztonsági vezetője elmondta, hogy ez a jogosultság kiemelten érzékeny volt, és a kulcs a fejlesztő távozása után is érvényben maradt. A gyanúsított - egy kínai állampolgár - 2023 decemberében hagyta el a céget, és a hatóságok szerint később visszatért Kínába.
Az adatvédelmi incidens nemcsak a Coupang működésére, hanem a dél-koreai kormányzati kommunikációra is erős nyomást helyezett. Az ország elnöke, Lee Jae Myung „megdöbbentőnek” nevezte, hogy az ország legnagyobb online áruháza öt hónapon át nem észlelte a betörést. Szerinte a vállalatoknak gyökeresen meg kell változtatniuk azt a gyakorlatot, amely szerint a személyes adatok megfelelő védelme háttérbe szorul, pedig a digitális korszakban ez az egyik legfontosabb dolog. Kijelentette: Dél-Korea számára ez figyelmeztetés, és egyben lehetőség arra, hogy erősítse a büntetőjogi és adatvédelmi szabályozást.
A Coupang közleményében azt hangsúlyozta, hogy a november 18-i észlelést követően azonnal jelentette az incidenst, blokkolta a jogosulatlan hozzáférést és megerősítette a belső ellenőrzési rendszereket. Ígéretet tett arra is, hogy jelentősen növeli kiberbiztonsági befektetéseit, és mindent megtesz az ügyfelek bizalmának visszaszerzéséért. Azonban a cégvezetés lassú és távolságtartó reakciója miatt a közvélemény kritikája nem csillapodik. Különösen sokan kifogásolják, hogy az alapító, Bom Kim még nem kért nyilvánosan bocsánatot. A parlament a jövő héten újabb meghallgatásra idézte be.
A dél-koreai cégeknél nem ez az első súlyos kibertámadás az utóbbi időben. Idén a legnagyobb telekommunikációs szolgáltató, az SK Telecom 97 millió dolláros bírságot kapott egy olyan incidensért, amely 25 millió ügyfelet érintett. A KT és a Lotte Card szintén jelentős adatvesztést szenvedett el, a vezető kriptotőzsde, az Upbit pedig novemberben 44,5 milliárd won értékű kriptovalutát veszített egy hackertámadás során. A pénzügyi felügyelet vezetője szerint a koreai cégek kiberbiztonsági beruházásai „kirívóan elégtelenek” a hasonló méretű amerikai vállalatokhoz képest.
Szakértők úgy vélik, a vállalatok gyakran csak akkor kezdik komolyan venni a digitális védekezést, amikor már bekövetkezett a baj, pedig a megelőzés lenne kulcsfontosságú. A dél-koreai elnöki hivatal szerint a mostani és korábbi esetek egyértelműen azt mutatják, hogy strukturális problémák vannak a személyes adatok védelmét szabályozó rendszerben, és a szankciók nem elég visszatartó erejűek. A törvények ugyan lehetővé teszik a vállalatok bevételének akár 3 százalékát kitevő bírság kiszabását, illetve az ötszörös kártérítés megítélését különösen súlyos vagy gondatlan esetekben, a gyakorlatban azonban ezeket ritkán alkalmazzák. Egyes képviselők most azt sürgetik, hogy a Coupangra 1,2 billió wont is elérő büntetést szabjanak ki, mert csak így lehet valódi példát statuálni.
A botrány a Coupang fogyasztói bázisára is hatással volt. Egy piackutató cég szerint a vállalat napi aktív felhasználóinak száma közel 2 millióval csökkent, 16 millióra. A JP Morgan elemzői mindazonáltal úgy vélik, a tömeges elvándorlás valószínűtlen, mert a Coupang domináns piaci pozícióval rendelkezik, és a koreai vásárlók általában kevésbé érzékenyek az adatvédelmi incidensekre, mint más országok fogyasztói. A cég a helyi e-kereskedelmi piac több mint ötödét uralja, megelőzve legnagyobb hazai riválisát, a Navert.
A bizalomvesztés azonban sokaknál személyes döntésekben is megmutatkozik. Egy szöuli irodai dolgozó arról számolt be, hogy felmondta Coupang-tagságát tiltakozásként. Mint mondta: szereti a cég hajnali élelmiszer-kiszállítását, de csalódást keltőnek tartja a reakciót, és azt, hogy senki sem vállal valódi felelősséget. „Koreában keresik a pénzt, mégsem áll ki senki bocsánatot kérni” - fogalmazott.