(2025.12.3,新加坡)本周,韩国最大的电子商务平台Coupang遭遇了该国历史上最严重的网络安全危机。公司于11月30日正式承认,系统遭遇大规模数据泄露,受影响的客户数量高达3370万,这相当于韩国总人口的65%。就在今年4月,韩国最大电信公司SKTelecom曾发生了2700万用户数据泄露引发关注,此次距离该事件仅七个月。
根据Coupang发布的公开声明及韩国媒体综合报道,事件的发现过程显示现代企业面临的安全挑战。2025年11月18日,Coupang安全团队首次检测到与客户账户相关的“未经授权访问”迹象,当时的评估认为影响范围仅限于约4500名客户。然而,随后的深入取证调查揭开了更为惊人的真相:攻击者的渗透早在五个月前就已开始,实际受影响的账户数量最终确认为3370万。Coupang联席首席执行官Park Dae-jun已就此事向公众正式道歉,并承诺将全力配合调查。
虽然Coupang官方声明中未明确指认攻击者身份,但据《韩国先驱报》引述知情人士和警方消息,此次攻击具有典型的内部威胁特征。警方初步锁定一名曾在Coupang工作的中国籍前员工,该员工涉嫌利用离职后,未被及时撤销的API访问令牌或认证密钥,通过海外服务器持续非法访问公司内部系统。攻击活动始于2025年6月24日,直至11月18日才被发现,这意味着攻击者拥有长达近150天的隐蔽访问窗口。
虽然Coupang强调支付信息(如信用卡数据)和账户密码未在此次攻击中泄露,但被窃取的个人身份信息维度极为丰富,极易被用于二次诈骗。已确认泄露的数据字段包括用户全名、手机号码、电子邮箱地址、物理配送地址以及部分订单历史信息。
安全专家特别指出,泄露“订单历史”比单纯的身份信息泄露更具危险性。攻击者可以利用具体的购物记录定制高可信度的“鱼叉式网络钓鱼”或电信诈骗,例如冒充客服人员准确说出受害者最近购买的商品,从而诱导受害者进行转账或点击恶意链接。
韩国个人信息保护委员会已启动紧急调查。鉴于此次泄露规模之大及涉及“未及时撤销权限”的管理疏忽,Coupang极可能面临类似SKTelecom的巨额罚款——SKTelecom此前因数据泄露被罚款1345亿韩元(约9100万美元)。此外,已有数万名受害者在网络社区集结,准备发起集体诉讼。
