有消息称，Coupang的个人信息泄露事故规模比最初公布的扩大了7500倍，政府因此开始排查是否存在支付信息泄露的可能性。尽管公司方面一再强调“支付信息是安全的”，但随着事件曝光过程中出现诸多疑点，政府表示，正独立于Coupang方面的说明，单独开展调查。尤其是在有迹象显示攻击企图自6月底起就持续存在的情况下，Coupang却承认直到11月才察觉，这一说法使外界对其发布内容的可信度产生质疑。

与Coupang相关的紧急部门联合部长会议 (首尔=韩联社) 记者 Han Jongchan = 副总理兼科学技术信息通信部部长 Bae Kyunghun 正在上个月30日于首尔钟路区政府首尔办公楼举行的与 Coupang 相关的紧急部门联合部长会议上发言。当天会议由警察厅长职务代理 Yoo Jaeseong、个人信息保护委员会委员长 Song Kyunghee、国家情报院相关人士、国务调整室室长 Yoon Changryeol 等出席。2025.11.30 【联合采访】 韩联社供图

원본보기 아이콘

个人信息保护委员会相关负责人1日表示：“Coupang的立场是支付信息和个人信息存储在不同系统中，但目前仍在调查阶段，难以对这一说法作出肯定判断。”

不仅需要查清是否还存在额外的信息泄露可能，此次事故的核心原因之谜也必须在调查过程中予以厘清。Coupang内部认证体系长期被放任不管的迹象进一步暴露，也加深了外界的疑虑。

据国会科学技术信息广播通信委员会委员长、共同民主党议员 Choi Minhee 于上月30日从Coupang处获得的资料显示，本次泄露事件中，用于向认证相关负责人发放令牌的签名密钥（令牌签名密钥）长期未被更新而一直残留在系统中。若将令牌比作一次性出入证，签名密钥就相当于制作该出入证的印章。即便出入证被废弃，只要印章本身仍然存在且有效，任何人只要愿意，就可以不断制作新的出入证。

Coupang在负责员工离职时，并未删除或更新用于生成令牌的签名密钥，这些长期有效的签名密钥因而暴露在内部员工（或离职人员）恶意利用的风险之下。以警方正在侦办为由，Coupang并未明确说明此次黑客攻击中被滥用的认证密钥的有效期，但在谈及令牌签名密钥的有效认证期限时表示：“据我们了解，将有效期设定为5至10年的案例很多。”

公开道歉的Park Daejun Coupang代表 （首尔=韩联社）记者韩钟灿 = 上个月30日，在政府首尔大楼举行的有关Coupang的紧急相关部门长官会议期间，Coupang代表Park Daejun在走出会场时公开道歉。2025.11.30 [联合采访提供]

원본보기 아이콘

更根本的疑问在于：“难道在长达5个月的时间里都没有发现认证密钥管理失误吗？”如果自6月底起就持续存在异常访问，但Coupang直到现在才意识到遭到入侵，这就意味着在权限管理、日志分析、异常行为监测等平台安全基础体系方面，整体上都没有发挥作用。无论是利用内部人员权限，还是在外部重用离职人员的认证信息，不管是哪种形式的未授权访问，竟在5个月内都完全未被探知，从技术角度看难以令人信服。有意见指出，目前甚至无法明确，探测延迟究竟是单纯的技术失败，还是在探测后曾在内部封存了一段时间。顺天乡大学信息保护学科教授 Yeom Heungyeol 解释称：“如果内部人员以极为隐蔽的方式进行访问，确实可能难以侦测，但在5个月内完全捕捉不到任何信号，实际上就意味着安全系统根本没有正常运作。”

如果后续调查中被查明连支付信息或银行卡信息也遭到泄露，事故的影响将不可避免地比现在更大。因为这将带来诸如非法支付等实际金钱损失的可能性，同时相关机构的制裁及赔偿责任也可能随之增加。