朝鲜日报 中文网

一个中国退休员工在5个月（147天）里泄露了3370万人的信息，而Coupang（韩国电商公司）声称未能察觉此事。如果真的没发现，那就是致命的无能；如果知道却保持沉默，那就是试图欺骗全民的隐瞒。韩国网络社区出现了“国民平台背叛国民”的批评之声。韩国国会科学技术情报放送通信委员会下属的民主党议员们，在声明中表示这“并非简单的技术事故，而是可能从根本上破坏国民信任的重大事件”。

147天里没发现的Coupang

Coupang称该公司于上月18日首次得知了客户个人信息被泄露的情况。Coupang表示：“发现约4500个账户的个人信息被非法泄露。我们已立即向警察厅、韩国因特网振兴院、个人情报保护委员会等相关机构进行了举报。”

但Coupang并非自己察觉到了信息泄露的事实。在比Coupang声称发现信息泄露的时间（11月18日）早两天的上月16日，一位Coupang用户向该平台提出了投诉。该用户称：“收到了一封邮件，称有不认识的人知道我的姓名、地址以及最近在Coupang购买的5件商品。”要求Coupang方面进行确认。Coupang急忙开始验证，直到昨天才意识到发生了信息泄露。如果没有这位客户的投诉，3370万人信息被泄露的情况可能会一直被忽视，后果不堪设想。

综合本报的采访可知，被指泄露信息的嫌疑人是一名已从Coupang离职的中国籍开发人员。据悉，他离职后在中国泄露了Coupang客户的个人信息，而他原本没有访问个人信息的权限。警方上月25日从Coupang收到关于这次事件的起诉书后，开始展开调查。

实际的信息窃取始于5个月前。Coupang了解到，该员工是从6月24日开始尝试窃取个人信息的。在接到客户的投诉之前，Coupang竟在147天里都没有察觉到任何异样。在Coupang发现信息被泄露后，这名中国籍嫌疑人还向Coupang方面发送了内容为“我掌握了客户信息，如果不加强安全措施，我就会曝光泄露事实”的威胁邮件。安全行业相关人士表示：“这是黑客在罪行败露时通常会采取的行为。”

这名中国人在离职后回到中国，利用在职期间获取的令牌（数据访问密钥），在147天里爬取了3370万名用户的数据。而在这名离职员工在海外随意窃取客户个人信息期间，Coupang的自检系统根本没有发挥作用。

令人费解的是一名离职人员实际上泄露了Coupang所有的客户信息。这证明Coupang的内部访问权限管理系统处于不设防状态。甚至有人提出存在幕后的说法，称这名有问题的离职人员可能与大型组织或产业间谍有关联。流通行业相关人士表示：“最近，全球企业不断发生来自中国等国家的产业间谍试图伪装就业的案例。”

泄露的Coupang数据为最新信息

Coupang在2021年获得了由科学技术情报通信部和个人信息保护委员会认证的国内最高权威的安全认证ISMS-P，并在2024年经过重新审查后更新了认证。有批评指出，韩国政府的认证制度说起来严格，却沦为了有名无实的走过场行为。

在这次事件中泄露的个人信息不仅包括姓名和电子邮件地址，还包括电话号码、地址等配送地址簿。最近5笔包括结算日期、商品名称、数量等在内的订单信息也遭到了泄露。流通行业相关人士指出：“由于Coupang的数据特性是每天订购的生活用品，泄露的信息是可以完整确定当前居住地和生活方式的‘最新信息’，因此被滥用的风险非常大。”

Coupang称：“支付信息、信用卡号码和登录信息没有被泄露。”消费者对此表示根本不相信Coupang的解释。Coupang最初宣布“有4500个账户的信息被泄露”，但仅在11天后就将受害规模修正为3370万人。随着司法机构和监管机构调查的进行，无法排除受害规模和内容发生变化的可能性。