有主张称，在3370万名客户个人信息被泄露的电商平台Coupang中，员工离职后仍通过公司内部通讯工具账号查阅公司信息。这与Coupang代表理事 Park Daejun 所称的“离职者权限会立即注销”形成正面冲突。

盖蒂图片社

원본보기 아이콘

3日据本报记者综合采访，离职的Coupang员工在离开公司后数个月内，依然通过公司内部通讯工具 Slack 账号查看会议内容和业务对话。由于Coupang远程办公活跃，工作多通过Slack进行，而离职后相关账号仍处于激活状态，因此他们可以看到同事之间的聊天内容。Coupang前员工表示：“公司内部在安保方面存在疏漏”，并称“部分合同制员工的Slack账号在离职后仍在相当长一段时间内保持有效，能够进入工作群聊，查看公司聊天内容”。

Park Daejun Coupang代表2日在国会科学技术信息放送通信委员会全体会议上出席现状质询并作答。右侧为Coupang首席信息安全官Brett Mathis。记者金贤敏提供

원본보기 아이콘

一名中国国籍的Coupang安全认证开发人员在去年12月离职后，于今年6月24日至11月8日期间，从Coupang窃取了3370万个账号的个人信息，因此有批评认为，Coupang连最基本的“离职者内部账号停用”程序都未遵守。

对此，Park代表前一天在国会科学技术信息广播通信委员会（科放委）紧急现状质询中作出说明称：“离职者权限会立即注销。”Coupang方面认为，该开发人员并非通过公司账号或权限进行访问，而是在在职期间泄露了核心签名密钥，随后利用这一密钥窃取了客户信息。

但考虑到Coupang离职员工的Slack账号实际上在相当长时间内仍然有效，有观点认为，攻击者在离职后也可能借此获取接近内部安全系统的线索。

盖帝图片提供

원본보기 아이콘

有意见指出，Coupang在居家办公人员众多的情况下，本应强化基于线上环境的访问控制，却连基本的安全程序都未遵守。Coupang在用户登录时会发放一种“出入卡（令牌）”，并通过“公司印章”（签名密钥）进行验证。攻击者正是利用这枚印章，在外部伪造令牌，进而访问客户账号。Coupang首席信息安全官（Chief Information Security Officer，CISO） Brett Mathis 当场也表示：“看上去攻击者利用了来自不同来源的IP地址窃取数据”，“由于在我们系统中未超过阈值，所以似乎没有被发现”。

Coupang虽配备了“异常交易检测系统（Fraud Detection System，FDS）”这一安全系统，通过对用户的访问模式、时间、IP、设备变化等进行实时分析来探测异常行为，但却连这种异常访问和大规模令牌生成等最基本的异常征兆都未能拦截。高丽大学信息安全研究生院教授 Kim Seungju 表示：“如果FDS能够正常运作，本可以事先阻止内部人员访问电子签名密钥并大规模生成认证令牌的行为”，“我认为异常征兆检测系统整体上比较薄弱”。

与一般黑客攻击不同，本次因内部人员管理不善导致的客户账号泄露，引发了对二次受害的更大担忧。国民力量党议员 Kim Jangkyum 在前一天的质询中指出：“这次侵入方式并非利用公司账号，而是像一般Coupang服务用户那样访问，如果连账号和密码都被泄露，是否有可能进一步登录Naver或其他电商平台的账号？” Kim教授则表示：“如果Coupang内部人员管理不到位，导致账号和密码一并泄露，这种情形也是有可能发生的”。