本報綜合報導
韓國酷澎去年發生大規模個資外洩事件,經第三方資安公司鑑識確認,約二十萬個台灣帳號的用戶資料曾遭未授權接觸。數發部數產署二十六日表示,日前赴酷澎進行實地個資行政檢查,發現台灣個資管理存有缺失,將依相關規定裁處。
數產署指出,韓國酷澎去年十一月發生個資外洩,第一時間即請酷澎台灣說明,並確認台灣用戶資料是否受影響。酷澎台灣今年二月二十三日通報,經第三方資安公司鑑識,證實有台灣用戶遭非法存取。
數產署二十五日上午邀集法律、資安專家學者、刑事局及資安院組成行政調查小組,赴酷澎台灣進行實地個資行政檢查,初步了解攻擊者與酷澎韓國攻擊事件是同一人,為酷澎韓國離職員工,以持有備援金鑰偽造客戶登入驗證的手法,擷取酷澎台灣部分使用者資料。
數產署指出,酷澎台灣所提出的第三方資安公司鑑識報告顯示,攻擊者透過二千多個不同的IP網址,登入並接觸二十萬四千五百五十二名酷澎台灣用戶的個資,包括姓名、電子郵件、電話號碼、配送地址及部分訂單紀錄等。
依先前酷澎台灣表示,台灣與韓國的用戶資料庫有區隔;但檢查結果發現,不同資料庫的備援金鑰係相同,使用同一備援金鑰即可存取。此外,酷澎未刪除離職員工的權限及定期更換備援金鑰,離職員工仍可以原取得的備援金鑰進行資料庫存取。
數產署表示,將依《個人資料保護法》、「數位經濟相關產業個人資料檔案安全維護管理辦法」等相關規定,持續對鑑識報告及各項情事進行查核,並就調查事證結果依法定程序辦理裁處事宜。