贖罪券|Coupang洩3,300萬用戶私隱 狂派11.7億美元圖挽商譽
南韓電商巨頭 Coupang 近期發生南韓史上最大規模的數據外洩事件,震撼整個科技界。這間在美國上市、每年營收超過 300 億美元的零售霸主,竟因內部管理疏忽導致高達 3,370 萬名客戶的敏感資料外洩。為了平息眾怒,Coupang 宣佈推出一項總金額高達 11.7 億美元(約 1.685 兆韓圜)的賠償計劃,試圖用「銀彈攻勢」減少這場災難所帶來的損失。
中國藉內奸非法存取數據庫
綜合官方公佈的細節可見,這次事件並非源自黑客入侵,而是典型的內部威脅(Insider Threat)。偷走機密數據的內奸是一名曾在 Coupang IT 部門任職的 43 歲中國籍前員工,疑犯於 2022 年 11 月至 2024 年間利用職權非法存取公司龐大的數據庫,原因未明。
雖然 Coupang 聲稱在 Mandiant、Palo Alto Networks 及 Ernst & Young 等網絡安全公司的深入調查後,發現這名前員工雖然接觸了 3,300 萬個帳戶,但實際保留在個人裝置上的用戶數據只約 3,000 筆,且未有證據顯示資料已被轉售予第三方,但事件已暴露出 Coupang 管理層在權限管理與員工行為監控上存在疏忽。
事實上,案件的調查過程猶如電影情節。Coupang 在 11 月中驚覺早在 6 月 24 日已發生數據違規行為,隨即通報警方介入,調查人員成功接觸該名已離職的員工,但其間疑犯為了毀滅證據,竟將一部涉案的 MacBook Air 手提電腦掉入河中,但最終仍被警方尋獲並修復內裡數據,成為定罪的關鍵證物。
事件證企業不能忽視內部管理
面對這場公關災難,Coupang 選擇了最直接的補償方式,公司承諾將於 2026 年 1 月 15 日開始,向所有受影響的客戶發放賠償,對象涵蓋現有的 WOW 會員及已經取消會籍的用戶。每位受害者將獲得總值 50,000 韓圜的現金代用券,當中包括價值 5,000 韓圜的 Marketplace 券、5,000 韓圜的 Coupang Eats 券、20,000 韓圜的 Coupang Travel 產品券等,試圖透過消費補貼來挽救商譽。
此外,Coupang 還計劃為現有會員提供額外折扣優惠,並宣布將投入更多資源提升數據安全,強調未來將採取更嚴格的內部監控措施,以防範類似事件再次發生。
網絡安全專家指出,這次事件無疑給 Coupang 及其他企業敲響了警鐘,即使掌握先進的技術與龐大的資源,也無法忽視內部管理的重要性,而內部威脅往往比外部攻擊更具殺傷力及更難偵測。企業必須落實「零信任」(Zero Trust)架構,嚴格限制帳戶的存取範圍,並引入 AI 驅動的行為分析工具,實時監控員工的異常行為。
另外,撤銷離職員工的權限亦要及時,才能防止類似的安全事故重演。專家還特別強調,數據安全應該成為企業管理層的核心議題,而非僅僅停留在 IT 部門層面。只有通過全員參與的方式,才能真正建立起一套全面的安全防護體系。
