韩国电商巨头Coupang承认数据泄露，波及3370万用户

韩国零售业巨头Coupang已承认发生数据泄露事件，导致3370万客户的个人信息暴露，该公司著名的“火箭配送”物流帝国变成了个人信息的快速运输通道。

这家常被称为“韩国亚马逊”的电商巨头，是韩国最大的零售平台、物流运营商和仓储网络——一个垂直整合的零售巨擘，其次日达服务“火箭配送”在国内已成为一种象征，顾客甚至还没完全想起自己订购了什么，纸箱就已经送达。

Coupang于周一向The Register确认了此次数据泄露。公司最初在11月18日检测到未授权访问，起初仅涉及约4500个客户账户，随后的调查显示，大约有3370万个国内账户卷入了一次范围更广的泄露事件。

此次泄露波及了超过一半的韩国人口，泄露信息包括客户姓名、电子邮件地址、电话号码、收货地址、部分订单历史以及某些配送元数据。Coupang坚称攻击者未能获取登录凭证或支付卡详细信息，并表示这些信息仍“受到安全保护”。

Coupang的一位发言人在提供给The Register的声明中概述了公司的应对措施：“Coupang已立即向相关当局（警察、KISA、PIPC）报告了此事件。” 这是指国家警察厅、韩国互联网振兴院（KISA）和个人信息保护委员会（PIPC）。

该公司认为，入侵在技术上始于6月24日，源自“海外服务器”，并通过韩国管辖范围之外的基础设施进行路由。发言人告诉我们，Coupang此后已“封锁了未授权访问路径，加强了内部监控，并聘请了来自一家领先独立安全公司的专家”，尽管该零售商拒绝透露参与持续调查的公司名称。

Coupang也未透露谁是此次大规模泄露事件的幕后黑手，但当地媒体报道暗示，一名据称是Coupang员工的中国籍人士从公司内部泄露了数据。报道称，该员工已从公司辞职，使用了在合同终止后仍处于激活状态的认证密钥，并在事件曝光后不久离开了韩国。

Coupang明确警告客户警惕“冒充Coupang的电话、短信或其他通讯”，并就“此事可能引起的担忧”公开致歉，这种措辞已成为一种千篇一律的套话。

此次事件发生前不久，韩国最大的移动运营商SK电讯刚刚披露，黑客窃取了近2700万用户的USIM身份数据。此后，韩国隐私监管机构认定该移动巨头“甚至没有实施基本的访问控制”，对其处以创纪录的1345亿韩元（9700万美元）罚款。

如果真有一名内部人士带着涉及该国过半人口的零售数据离开了Coupang，那么该公司可能正准备面临类似的处罚。

这两起事件都指向了大致相同且令人不安的事实：韩国的核心商业和通信提供商仍然是高价值的身份信息目标，其集中化的系统在攻击者眼中，与其说是基础设施，不如说是等待变现的海量个人数据API。