酷澎個資外洩影響20萬台灣用戶 數發部：管理有缺失 將依法裁處

韓國酷澎（Coupang Corp.）去年發生大規模個資外洩事件，經第三方資安公司鑑識確認，約20萬個酷澎台灣帳號的用戶資料曾遭未授權接觸。數發部數產署今天（26日）表示，昨天赴酷澎股份有限公司，進行實地個資行政檢查，初步了解攻擊者與酷澎韓國攻擊事件是同一個人，為酷澎韓國離職員工；另發現酷澎台灣個資管理有缺失，將依相關規定裁處。

數產署發布新聞稿指出，韓國酷澎去年11月發生個資外洩事件，第一時間即請酷澎台灣說明，並確認台灣用戶資料是否受影響。當時酷澎台灣回報並公開聲明，依據調查，無證據顯示酷澎台灣的消費者個資外洩，並表示已委由第三方資安公司調查，數產署要求酷澎台灣即時回報韓國或第三方資安公司最新調查情形。

為進一步釐清酷澎台灣個資保護情況，數產署表示，去年12月24日再次邀集法律、資安專家及學者，會同資安院辦理實地個資行政檢查。酷澎台灣仍表示第三方資安公司尚在調查，並再度強調依當時調查尚無證據顯示有台灣用戶受到影響。數產署也要求酷澎台灣以雙周為頻率，回報韓國及第三方資安公司的調查進度，如涉及台灣用戶應在第一時間通報。

數產署指出，酷澎台灣於今年1月12日、26日及2月9日回報，均表示調查尚在進行，仍無明確證據顯示台灣用戶資料受影響。

2月10日韓國科學技術情報通訊部發布酷澎韓國個資外洩調查結果，攻擊者在去年11月16日及25日，發送給酷澎韓國的電子郵件，聲稱「由於 Coupang 系統存在不難發現的漏洞，數10億條用戶隱私數據面臨外洩風險，韓國、日本、台灣用戶皆受影響」，而酷澎台灣於2月23日通報，經第三方資安公司鑑識，證實有台灣用戶遭到非法存取。

數產署表示，昨天上午邀集法律、資安專家學者、刑事警察局及資安院組成行政調查小組，赴酷澎台灣進行實地個資行政檢查，初步了解攻擊者與酷澎韓國攻擊事件，是同一人，為酷澎韓國離職員工，以持有備援金鑰偽造客戶登入驗證的手法，擷取酷澎台灣部分使用者資料。

數產署指出，酷澎台灣所提出的第三方資安公司鑑識報告顯示，攻擊者是透過2000多個不同的IP網址，登入並接觸20萬4552名酷澎台灣用戶的個資，包括姓名、電子郵件、電話號碼、配送地址及部分訂單紀錄等。

數產署說明，依先前酷澎台灣表示，台灣與韓國的用戶資料庫有區隔，但檢查結果發現，不同資料庫的備援金鑰係相同，使用同一備援金鑰即可存取。

此外，酷澎未刪除離職員工的權限及定期更換備援金鑰，離職員工仍可以原取得的備援金鑰，進行資料庫存取。

數產署表示，將依個人資料保護法、數位經濟相關產業個人資料檔案安全維護管理辦法等相關規定，持續對鑑識報告及各項情事進行查核，並就調查事證結果，依法定程序辦理裁處事宜。

（責任主編：莊儱宇）