工程师攻击者事先掌握认证体系漏洞
窃取签名密钥并对“电子出入证”进行伪造与篡改
经统计,前 Coupang 员工外泄的个人信息规模达约3367万条,犯罪分子实际查看的收货地址等信息高达1.5亿条,民官联合调查团认定,Coupang 松懈的认证体系管理为此次事件埋下了祸根。
科学技术信息通信部10日在首尔政府大楼发布了关于 Coupang 信息通信网络侵害事故的民官联合调查团调查结果,并将原因指向 Coupang 管理体系薄弱。
根据政府发布内容,攻击者在 Coupang 任职期间是软件开发人员(后端工程师),在职时负责用户认证系统的设计与开发工作,因此掌握了用户认证体系的漏洞以及密钥管理体系的薄弱环节。
Coupang 的关口服务器本应仅允许通过认证程序、获发“电子出入证”的用户接入,但调查结果显示,相关核验程序处于缺失状态。
此外,Coupang 管理的签名密钥是用于签发“电子出入证”的工具,理应建立系统化、严格的管理体系,但调查发现并非如此。按规定,相关业务负责人离职时,应通过更新程序使其无法继续使用该签名密钥,但相关体系和程序被发现不够完善。
离职后,攻击者利用在职期间窃取的签名密钥和内部信息,对“电子出入证”进行伪造与篡改。此后,其在未经过正常登录程序的情况下绕过 Coupang 认证体系,开展为正式攻击做准备的事前测试。
攻击者在通过事前测试确认可以访问用户账户后,利用自动化网页爬取(数据收集)攻击工具,大规模窃取信息。调查显示,在此过程中攻击者共使用了2313个互联网协议地址(IP)。
10日,在首尔钟路区政府首尔办公大楼,科学技术信息通信部信息保护网络政策室长 Choi Uhyuk 正在发布针对 Coupang 安全侵害事故的官民联合调查团调查结果。2026年2月10日 记者 Cho Yongjun
View original image调查团尤其指出,通过对攻击者个人电脑存储装置(2块硬盘、2块固态硬盘)进行取证分析,确认攻击者编写了既可收集信息又可向外部服务器传输信息的攻击脚本。还确认攻击者利用伪造的“电子出入证”未经许可登录他人账户后,可以将窃取的信息传输至位于海外的云服务器。
但对于相关信息是否实际完成传输,由于未留存记录,调查团表示无法予以确认。
调查团敦促称:“Coupang 应当导入针对未按正常签发程序生成的‘电子出入证’的检测和拦截体系,并就模拟黑客测试中发现的安全漏洞制定根本性改进方案。”调查团进一步指出:“Coupang 按自身规定,明确要求签名密钥只能保存在‘密钥管理系统’中,不得存储在开发者个人电脑等设备上(包括在源代码中硬编码),但目前仍有在职 Coupang 开发人员将签名密钥保存在笔记本电脑中,存在密钥泄露与滥用风险。”
同时,调查团对信息保护和个人信息保护管理体系认证(信息安全管理体系—个人信息保护管理体系)进行检查后发现,Coupang 未将开发与运营进行分离,却向开发人员授予了访问实际运行中的“密钥管理系统”的权限,亟需整改。
调查团表示:“Coupang 必须强化密钥管理与控制体系,明确运营管理标准,并实施常态化检查”,“同时要强化对异常接入行为的监测,制定符合事故原因分析和受害规模识别等目的的日志存储与管理政策。”
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
