2万名客户·13万名配送员信息泄露…酷澎被罚款16亿

by Choi Yuri

Published 28 Nov.2024 12:00(KST)

Updated 28 Nov.2024 15:54(KST)

open/close

对销售方系统认证问题置之不理
核查检点与改进措施遭放任

韩联社

Coupang泄露了2万余名顾客信息和13万余名配送员信息，被处以16亿韩元的罚款。

个人信息保护委员会28日表示，已决议对违反《个人信息保护法》的Coupang处以总计15亿8865万韩元的罚款和罚金。

个人信息保护委员会根据泄露申报，对2023年通过Coupang销售者系统发生的顾客订单信息泄露事故，以及2021年Coupang Eats配送员个人信息泄露事故进行了调查。

调查结果显示，由于在Coupang运营的销售者专用系统Wing登录过程中发生认证问题，原本仅应当向相关销售者显示的2万2440名下单顾客的个人信息，被泄露给了其他销售者。泄露的信息包括下单顾客姓名、订单内容、商品价格信息、收货地址等。

Coupang在Wing登录认证服务中使用开源程序，自2021年5月起启用了在网络连接失败时自动重新连接的选项功能。2022年7月，曾有警告称因技术问题不应使用该选项功能，但Coupang仍将该功能保持启用状态直至2023年12月。对于开源程序的安全性问题，Coupang未定期开展漏洞确认、检查及改进措施。

对此，个人信息保护委员会向Coupang处以13亿1000万韩元的罚款，并决定在个人信息保护委员会官方网站上予以公示。

同时，Coupang虽自2019年11月起为保护Coupang Eats配送员的个人信息，调整政策为仅向餐厅发送安全号码，但实际上却一直到2021年11月仍将配送员的个人信息发送给餐厅。由此，在餐厅使用的Otter Korea订单信息综合管理系统中，Coupang Eats配送员的实名和手机号码被原样暴露。

Coupang自2020年11月起已知悉Otter Korea通过应用程序接口（Application Programming Interface，API）从Coupang Eats服务器接收餐饮外卖订单信息。但此后仍反复允许或阻断Otter Korea服务器的接入，自2021年6月起则完全允许Otter Korea服务器接入，最终导致信息泄露事态。

Coupang于2021年11月23日知悉个人信息泄露事实，但在无正当理由的情况下超过24小时才发出泄露通知，存在通知延迟情形。Otter Korea对从Coupang Eats接收的13万5000名配送员的个人信息，在配送完成后也未予以销毁，而是持续保存。