酷澎台灣爆個資管理漏洞　數發部查實缺失將依法開罰

韓國電商巨頭酷澎（CoupangCorp.）去年爆發大規模個資外洩風波，經第三方資安公司完成鑑識調查後確認，約20萬4552個酷澎台灣帳號的用戶資料曾遭未經授權存取，涉及姓名、電子郵件、電話號碼、配送地址及部分訂單紀錄等敏感資訊。數位發展部數位產業署昨日前往酷澎台灣進行實地個資行政檢查，認定其個資管理確有缺失，將依相關法規進行裁處。回顧事件始末，韓國酷澎於去年11月發生個資外洩事件後，數產署隨即要求酷澎台灣說明並確認台灣用戶是否受波及。當時酷澎台灣公開聲明表示，依據調查並無證據顯示台灣消費者個資遭到外洩，同時已委託第三方資安公司展開調查。數產署隨後要求酷澎台灣即時回報最新調查進展，並於去年12月24日邀集法律、資安專家學者，會同國家資通安全研究院進行實地檢查，酷澎台灣當時仍堅稱調查未發現台灣用戶受影響的證據。數產署進一步要求酷澎台灣以每兩週一次的頻率回報調查進度。酷澎台灣於今年1月12日、26日及2月9日的回報中，均表示調查仍在進行且無明確證據指向台灣用戶資料受損。然而，韓國科學技術情報通訊部於2月10日公布酷澎韓國個資外洩調查結果，揭露攻擊者曾於去年11月16日及25日發送電子郵件給酷澎韓國，聲稱其系統存在明顯漏洞，數十億條用戶隱私數據面臨外洩風險，韓國、日本及台灣用戶均受影響。酷澎台灣隨後於2月23日正式通報，經第三方資安公司鑑識確認，台灣用戶確實遭到非法存取。數產署昨日上午邀集法律與資安專家學者、刑事警察局及資安院組成行政調查小組，前往酷澎台灣進行實地檢查。初步調查結果顯示，此次攻擊與酷澎韓國事件為同一人所為，攻擊者為酷澎韓國的離職員工，利用持有的備援金鑰偽造客戶登入驗證，藉此擷取酷澎台灣部分使用者資料。鑑識報告指出，攻擊者透過2000多個不同的IP位址登入系統，接觸了超過20萬名台灣用戶的個人資料。值得關注的是，酷澎台灣先前曾表示台灣與韓國的用戶資料庫彼