Coupang 3367万条客户信息泄露官方确认
Source: Byline Network
概要
通过政府调查确认,Coupang 全体员工未经授权泄露了 33,673,817 条客户个人信息,并查询了约 1.48 亿次收货地址信息。科学技术信息通信部于 2 月 10 日在政府首尔厅举行的简报会上公布了民官联合调查组(以下简称调查组)的调查结果。
泄露规模及调查方法
调查组依据自 2025 年 11 月 29 日起进行的日志分析和取证结果,对 Coupang 可获取的网页访问记录(日志) 25.6 TB 进行分析,估算泄露规模。同时,对被怀疑用于攻击的 4 台攻击者 PC·存储设备以及在职的 Coupang 开发者笔记本电脑进行取证调查。
“我的信息修改”页面泄露个人信息
- 泄露数量:包含客户姓名·电子邮件的个人信息 33,673,817 条
- 调查组依据页面访问·查询记录确认了事故范围,准确规模将在后续由个人信息保护委员会确定并公布。
“收货地址列表”页面大规模查询
- 查询次数:约 1.48 亿次
- 查询的信息包括姓名·电话号码·收货地址以及去标识化的公共门禁密码。
- 该数字指的是攻击者对该页面的总访问(查看)次数,而非受害客户数量。
- 收货地址信息可能包含账户持有人之外的家人·熟人代收的地址,因此可能包含大量第三方的姓名·电话号码·地址。
其他页面的个人信息访问记录
- 收货地址列表修改页面:5 万 474 次查询(姓名·电话号码·地址·公共门禁密码)
- 订单列表页面:10 万 2,682 次查询(最近下单的商品列表)
调查组说明,此次调查结果未包含 Coupang 最近额外披露的约 165,000 个账户相关泄露案件。最终泄露规模将在后续个人信息保护委员会的公告中确定。
认证绕过·令牌伪造是事故原因
调查组解释,正常流程中用户登录后会获取电子通行证(令牌),网关服务器会验证令牌的有效性。但本次事故中,Coupang 前员工未进行正常登录,利用伪造的令牌通过网关服务器,异常访问了含有个人信息的页面。
- 事前的模拟攻击已指出但未改进的令牌验证流程被认定为根本原因。
- 虽然出现异常访问和大规模查询,但检测·监控体系未能提前捕获。
科学技术信息通信部信息保护网络政策室主任 崔宇赫 评价称:“这更像是内部管理问题,而非智能化攻击。”
密钥保管实践问题
内部规定要求签名密钥只能保存在密钥管理系统中,但取证结果显示在职开发者的笔记本电脑中存有签名密钥。调查组要求 Coupang 加强认证密钥的发放·使用记录管理以及异常访问行为的检测·监控。
通过网页爬虫的大规模查询
- 攻击方式:使用自动化网页爬虫工具
- 攻击期间:2025 年 4 月 14 日 ~ 11 月 8 日
- 已确认的 IP:2,313 个
发现了可将数据传输到海外云端的脚本,但尚未确认实际传输情况。
违法行为及可能的罚款
- Coupang 在认识到侵害事故后,于 2025 年 11 月 17 日 16:00 向最高信息安全责任人(CISO)报告,但报告实际在 11 月 19 日 21:35 才提交,违反了 24 小时报告义务。
- 科技信息通信部计划依据《信息通信网利用促进及信息保护等法律》对其进行罚款处罚。
此外,因未履行资料保存命令,2024 年 7 月起约 5 个月的网页访问记录被删除,2025 年 5 月 23 日 ~ 6 月 2 日期间的应用访问记录也消失,调查机关已受理并展开调查。
调查组的建议事项
- 认证密钥的发放·使用记录管理
- 加强异常访问行为的检测·监控
- 定期检查自有安全规章的遵守情况
- 制定日志保存·管理政策,以满足事故分析和受害者定位所需的日志水平
Coupang 将在本月提交防止再次发生的对策实施计划,并于 3~6 月检查落实情况,7 月进行最终评估。
文:Byline Network
郭中熙 记者 – god8889@byline.network