“开放聊天室泄露个人信息” Kakao被罚15.1亿创历史新高

by Lee Jungyun

Published 23 May.2024 12:00(KST)

Updated 23 May.2024 13:54(KST)

open/close

临时账号未加密使用
个人信息委员会：“正在调查泄露规模”

韩国个人信息保护委员会认定，针对KakaoTalk开放聊天房间发生的个人信息泄露事故，Kakao应承担责任，决定对其处以韩国国内企业史上最高水平的151亿韩元罚款。此前，室内高尔夫企业Golfzon泄露了221万人的个人信息，被处以约75亿韩元的罚款。

个人信息保护委员会23日表示，已于前一天22日召开全体会议，决议对违反《个人信息保护法》的Kakao处以151亿韩元罚款和780万韩元罚金。同时向其下达整改命令，要求向用户发送泄露通知，并将在个人信息保护委员会官网上公示处分结果。

个人信息保护委员会自今年3月起，针对媒体关于KakaoTalk开放聊天房间用户个人信息被非法交易的报道，一直在调查其是否违反《个人信息保护法》。

调查结果显示，Kakao在运营标榜匿名的开放聊天房间时，仅将普通聊天中使用的会员序列号与开放聊天房间信息简单连接，生成临时ID并加以使用，但并未对其进行加密。

自2020年8月起，虽然开始对临时ID进行加密，但此前开设的部分开放聊天房间并未适用该措施。据悉，在这些此前开设的开放聊天房间中，即便通过加密后的临时ID撰写帖子，实际上也未能正常完成加密。

据个人信息保护委员会介绍，黑客利用这一漏洞获取了临时ID和会员序列号，并将会员序列号与其他信息结合后对外出售。

个人信息保护委员会相关负责人表示：“目前警方正在调查确切的泄露规模。我们已确认，某特定网站上登载了约696名KakaoTalk开放聊天房间用户的信息，并通过日志分析等手段确认黑客至少查询了6万5719次。”

该负责人还补充称：“综合考虑到黑客通过Telegram等平台发布‘只要告知特定开放聊天房间，就提供该用户信息’之类的帖子等情况，我们判断相当数量的信息已经泄露。”

调查还显示，尽管通过开发者社区等渠道，利用KakaoTalk应用程序接口（API）实施非法行为的方法早已被公开，但Kakao并未就个人信息泄露的可能性进行充分排查和采取措施。

此外，Kakao在去年3月已知悉KakaoTalk开放聊天房间用户的个人信息正在泄露，却未向有关部门报告泄露事件，也未向用户发出通知，这一事实同样被查明。

个人信息保护委员会表示：“对于像KakaoTalk这样大多数国民都在使用的服务，有必要持续检查和改进安全漏洞，并在设计、开发过程中不断确认可能发生的个人信息侵害风险。”

另一方面，Kakao方面认为个人信息保护委员会的决定不当，表示将积极考虑提起行政诉讼等应对措施。Kakao方面解释称：“会员序列号和临时ID是由数字构成的字符串，本身并不包含任何个人信息，无法据此识别个人。根据相关法律规定，它们并非必须加密的对象，因此不对其进行加密不能视为违反法律法规。”

本报道由人工智能(AI)翻译技术生成。