酷澎3370萬用戶個資外洩　韓國十多年來最嚴重　疑中國籍前員工涉案　總統李在明震怒下令徹查

韓國電商龍頭酷澎（Coupang）爆出該國十多年來規模最大嘅用戶個人資料外洩事件。官方確認，已有超過3370萬名用戶嘅姓名、電話號碼、電郵、送貨地址，以及部分訂單紀錄遭非法存取，幾乎涵蓋酷澎全部活躍用戶，事件曝光後喺韓國社會引發強烈震盪。

韓國總統李在明喺國是會議上嚴厲批評酷澎「長達五個月都未發現異常，令人震驚」，並下令內閣全面徹查真相、嚴厲究責，同時要求檢討現行企業過失罰則同受害者賠償制度，強調必須將個人資料視為數碼時代嘅「國家級關鍵資產」。

根據韓國情報通信部官員向國會提交嘅報告，駭客入侵行為最早可追溯到今年6月24日，一直持續到11月8日，歷時接近五個月。惟酷澎直到11月18日先察覺系統異常，並喺11月20日首次向個人資訊保護委員會通報約4500名用戶資料外洩，其後到11月29日先大幅上調通報人數至3370萬。酷澎強調，外洩資料未包含信用卡資料或登入密碼等高度敏感嘅支付資訊。

首爾警察廳網絡犯罪偵查隊透露，11月16日、26日同28日，先後有多名酷澎用戶及客服人員收到匿名威脅信，信中聲稱「已掌握大量用戶個資，若酷澎唔改善資安，將向媒體公開」。警方正比對相關信件是否由同一人發出，並追查犯案IP位址。

調查焦點目前集中喺一名已離職嘅中國籍前員工身上。綜合 JTBC 同韓聯社報道，該名前員工負責用戶驗證與授權認證系統，持有內部簽章密鑰（signature key），但其離職後，該密鑰未有即時註銷或更新，成為重大資訊安全漏洞。酷澎內部懷疑，正係呢把「遺留鑰匙」遭人濫用，引發大規模個資外洩。據悉，該名前員工已經離開韓國，警方與酷澎目前都未就此作進一步評論。

韓國情報通信部長指出，犯案者明顯「濫用酷澎伺服器內部認證漏洞」，政府將全面調查酷澎有冇違反《個人資訊保護法》。國會議員亦猛烈抨擊，指簽章密鑰管理屬企業最基本嘅資安常識，酷澎卻出現嚴重失誤，反映組織管理混亂。

根據2023年修訂嘅韓國《個人資訊保護法》，若企業因重大過失導致個資外洩，最高可被罰相當於年度銷售額3%嘅罰款。韓聯社估算，酷澎今年前三季銷售額約31萬億韓元，若以此推算全年表現，最高罰款金額或高達1.2兆韓元（約9億美元），有機會刷新韓國個資外洩罰款紀錄。

酷澎代表理事為事件公開鞠躬道歉，坦承「對事件深感自責」，並承諾全力配合政府成立嘅官民聯合調查小組，同時採取措施防止資料進一步外洩。目前，韓國其他主要電商平台亦已緊急全面檢視離職員工權限管理機制。

事件亦波及台灣。酷澎台灣於11月30日發聲明表示，經初步調查，台灣用戶資料未受影響，並會持續同國際頂尖資安公司合作，加強監控。

截至昨日，已有超過一萬名韓國用戶喺網上表態有意參與集體訴訟。有律師指出，預計每名原告索償金額將超過10萬韓元（約68美元）。不過，摩根大通分析認為，考慮到酷澎喺韓國電商市場嘅壓倒性地位，以及韓國消費者對個資外洩議題相對冇咁敏感，長期用戶流失或有限，但短期內因自願補償同政府罰款，將出現「相當可觀嘅一次性損失」。