Η Coupang, η κορυφαία πλατφόρμα ηλεκτρονικού εμπορίου της Νότιας Κορέας, αποκάλυψε πρόσφατα μια παραβίαση δεδομένων που επηρεάζει 33,7 εκατομμύρια λογαριασμούς πελατών που ισοδυναμεί με σχεδόν τα δύο τρίτα του κορεατικού πληθυσμού.
Αυτό αντιπροσωπεύει το μεγαλύτερο περιστατικό ασφάλειας ηλεκτρονικού εμπορίου στην ιστορία της Νότιας Κορέας και θα μπορούσε να οδηγήσει σε πρόστιμα έως και 900 εκατομμύρια δολάρια (περίπου 1,2 τρισεκατομμύρια KRW).
Αυτή η παραβίαση αποκάλυψε ευπάθειες στα συστήματα προστασίας δεδομένων, ιδιαίτερα για πλατφόρμες ηλεκτρονικού εμπορίου που χειρίζονται ευαίσθητα δεδομένα, συμπεριλαμβανομένων ιστορικών συναλλαγών, διευθύνσεων παράδοσης και τρόπων πληρωμής.
Το μέγεθος του περιστατικού έχει προκαλέσει ανησυχίες μεταξύ των πελατών και των παρατηρητών του κλάδου.
Μη εξουσιοδοτημένη πρόσβαση που δεν εντοπίστηκε για πέντε μήνες
Στις 29 Νοεμβρίου, η Coupang επιβεβαίωσε τη μη εξουσιοδοτημένη έκθεση ονομάτων χρηστών, αριθμών τηλεφώνου, διευθύνσεων email, βιβλίων διευθύνσεων παράδοσης και λεπτομερειών αγοράς.
Ενώ η εταιρεία εντόπισε ασυνήθιστη πρόσβαση στις 6 Νοεμβρίου στις 6:38 μ.μ. KST, δεν εντόπισε πλήρως την παραβίαση μέχρι τις 18 Νοεμβρίου στις 22:52, δηλαδή περισσότερες από 12 ημέρες αργότερα.
Οι έρευνες αποκάλυψαν ότι οι επιτιθέμενοι είχαν πρόσβαση σε δεδομένα πελατών μέσω διακομιστών στο εξωτερικό για σχεδόν πέντε μήνες, από τις 24 Ιουνίου έως τις 8 Νοεμβρίου.
Ένας πρώην υπάλληλος της Coupang έχει αναγνωριστεί ως κύριος ύποπτος. Το άτομο είχε πρόσβαση σε υπηρεσίες ελέγχου ταυτότητας και διατήρησε τα κλειδιά πρόσβασης μετά την παραίτηση, επιτρέποντας την παραβίαση.
Δεδομένα που δεν απαιτούνται νομικά για να είναι κρυπτογραφημένα
Οι πληροφορίες που διέρρευσαν δεν υπόκεινταν σε υποχρεωτική κρυπτογράφηση σύμφωνα με την κορεατική νομοθεσία. Επί του παρόντος, ο νόμος περί προστασίας προσωπικών πληροφοριών στη Νότια Κορέα απαιτεί κρυπτογράφηση μόνο για δεδομένα πληρωμής, όπως αριθμούς πιστωτικών καρτών και μοναδικά αναγνωριστικά, όπως αριθμούς εγγραφής κατοίκων.
Αν και πληροφορίες όπως ονόματα, διευθύνσεις, αριθμοί τηλεφώνου, διευθύνσεις email και ιστορικό αγορών μπορεί να φαίνονται λιγότερο κρίσιμες, ο συνδυασμός αυτών των σημείων δεδομένων μπορεί να δημιουργήσει κινδύνους για την ασφάλεια.
Η ανάλυση του ιστορικού αγορών αποκαλύπτει πρότυπα τρόπου ζωής και οικογενειακές δομές, οι οποίες, όταν συνδέονται με προσωπικά στοιχεία επικοινωνίας, θα μπορούσαν να οδηγήσουν σε επιθέσεις ψαρέματος με δόρυ ή ακόμα και σε φυσικές απειλές.
Επιπλέον, η διασταύρωση αυτών των δεδομένων με πληροφορίες πληρωμής που είχαν διαρρεύσει στο παρελθόν μπορεί να επιτρέψει επιθέσεις επαναπροσδιορισμού που εντοπίζουν με ακρίβεια τα άτομα.
Μια παραβίαση δεδομένων είναι το μόνο που χρειάζεται για να χαθεί η εμπιστοσύνη των πελατών, να επιβληθούν τεράστια ρυθμιστικά πρόστιμα και να σταματήσουν οι λειτουργίες για ανάκτηση.
Αποτρέψτε τους κινδύνους κρυπτογραφώντας με το D.AMO πριν να είναι πολύ αργά.
The Case for Enterprise-Grade Encryption Solutions
Αυτό το περιστατικό υπογραμμίζει τη σημασία του κρυπτογράφηση δεδομένωνακόμη και όταν δεν επιβάλλεται νομικά. Σε αντίθεση με τα μη κρυπτογραφημένα δεδομένα, τα οποία γίνονται αμέσως εκμεταλλεύσιμα μόλις διαρρεύσουν, τα κρυπτογραφημένα δεδομένα παραμένουν άχρηστα χωρίς τα κλειδιά αποκρυπτογράφησης.
Ωστόσο, ελλείψει νομικών υποχρεώσεων, πολλές εταιρείες δεν δίνουν προτεραιότητα στην εθελοντική κρυπτογράφηση.
Για να μειώσουν τους κινδύνους από παραβιάσεις δεδομένων, οι οργανισμοί πρέπει να εφαρμόσουν αποδεδειγμένες λύσεις κρυπτογράφησης από αξιόπιστους προμηθευτές κυβερνοασφάλειας. Από την ίδρυσή της το 1997, η Penta Security έχει αποκτήσει τεχνογνωσία στην προστασία δεδομένων και έγινε παγκόσμιος ηγέτης στην ασφάλεια δεδομένων.
το 2004, Penta Security εκτοξεύτηκε Δ.ΑΜΟμια πλατφόρμα κρυπτογράφησης δεδομένων που παρέχει κρυπτογράφηση, κεντρικό έλεγχο και ανεξάρτητο σύστημα διαχείρισης κλειδιών (KMS).
Τα τελευταία 20 χρόνια, η D.AMO έχει αναπτυχθεί από περισσότερους από 10.000 εταιρικούς πελάτες, συμπεριλαμβανομένων μεγάλων χρηματοπιστωτικών ιδρυμάτων, οντοτήτων του δημόσιου τομέα και μεγάλων εταιρειών, επιβεβαιώνοντας την ιδιότητά της ως ηγέτη στην παγκόσμια ασφάλεια στον κυβερνοχώρο.
Το D.AMO υποστηρίζει πολλαπλές μεθόδους κρυπτογράφησης—βασισμένες σε API, plug-in και κρυπτογράφηση σε επίπεδο πυρήνα—χωρίς να απαιτείται τροποποίηση της εφαρμογής. Αυτή η ευελιξία επιτρέπει την ταχύτερη ανάπτυξη, μειώνοντας τους χρόνους εγκατάστασης από μήνες σε ημέρες. Προσφέρει επίσης ενσωματωμένα χαρακτηριστικά ασφαλείας, όπως έλεγχος πρόσβασης, έλεγχος και παρακολούθηση.
Οι ανησυχίες σχετικά με την υποβάθμιση της απόδοσης λόγω της κρυπτογράφησης είναι φυσικές, αλλά οι σύγχρονες τεχνολογίες αντιμετωπίζονται αποτελεσματικά.
Για παράδειγμα, το D.AMO ελαχιστοποιεί τον αντίκτυπο στην απόδοση, προσφέροντας επιλεκτική κρυπτογράφηση σε επίπεδο στήλης με βάση την ευαισθησία των δεδομένων και είναι συμβατή με κάθε επίπεδο του περιβάλλοντος συστήματος ενός οργανισμού.
Αναμένονται ρεκόρ πρόστιμα εν μέσω δημόσιας κατακραυγής
Η παραβίαση του Coupang ξεπερνά την προηγούμενη διαρροή δεδομένων SK Telecom USIM που αφορούσε 27 εκατομμύρια χρήστες, η οποία οδήγησε σε πρόστιμο 134,8 δισεκατομμυρίων KRW.
Σύμφωνα με τους τροποποιημένους νόμους περί προστασίας δεδομένων της Νότιας Κορέας, τα πρόστιμα μπορούν να φτάσουν έως και το 3% των ετήσιων εσόδων, τα οποία στην περίπτωση της Coupang θα μπορούσαν να κυμαίνονται από 150 δισεκατομμύρια KRW έως το πολύ 1,2 τρισεκατομμύρια KRW.
Μόλις δύο ημέρες μετά τη δημοσιοποίηση της παραβίασης, άρχισαν να σχηματίζονται κινήματα ομαδικής δράσης, με περισσότερα από 200.000 άτομα να συμμετέχουν σε σχετικά διαδικτυακά φόρουμ. Η παραβίαση δεν ήταν εξωτερική κυβερνοεπίθεση, αλλά μάλλον περίπτωση κατάχρησης νόμιμων διαπιστευτηρίων από εμπιστευτικές πληροφορίες.
Η εκτεταμένη περίοδος ανίχνευσης της εταιρείας μπορεί επίσης να θεωρηθεί ως παραβίαση των υποχρεωτικών μέτρων ασφαλείας που ενδέχεται να οδηγήσει σε πρόσθετες κυρώσεις.
Προληπτική ασφάλεια με επαληθευμένες λύσεις
Η παραβίαση δεδομένων Coupang αποδεικνύει ότι οι πληροφορίες που δεν καλύπτονται από απαιτήσεις κρυπτογράφησης μπορούν να εγκυμονούν κινδύνους όταν συνδυάζονται. Οι εταιρείες θα πρέπει να εξετάσουν το ενδεχόμενο προστασίας των δεδομένων των πελατών πέρα από τα νομικά ελάχιστα, υιοθετώντας λύσεις κρυπτογράφησης από καθιερωμένους παρόχους κυβερνοασφάλειας όπως η Penta Security.
Πέρα από τα εργαλεία κρυπτογράφησης, οι οργανισμοί χρειάζονται κεντρική διαχείριση και αποτελεσματικά συστήματα διαχείρισης κλειδιών.
Με σχεδόν 30 χρόνια εμπειρίας και συνεχή ανάπτυξη, η Penta Security παρέχει λύσεις κυβερνοασφάλειας για διάφορες υποδομές πληροφορικής — από συστήματα εσωτερικής εγκατάστασης έως περιβάλλοντα cloud, multi-cloud και υβριδικά περιβάλλοντα.
Επιπλέον, το D.AMO της Penta Security μπορεί να κρυπτογραφήσει όλους τους τύπους δεδομένων (δομημένων και μη) και μπορεί να αναπτυχθεί σε όλα τα επίπεδα συστημάτων πληροφορικής, συμπεριλαμβανομένων λειτουργικών συστημάτων, βάσεων δεδομένων και εφαρμογών.
Όπως δείχνει η υπόθεση Coupang, οι οργανισμοί μπορεί να επωφεληθούν από την εφαρμογή κρυπτογράφησης πέρα από τα νομικά επιβεβλημένα δεδομένα για να βοηθήσουν στην πρόληψη παρόμοιων περιστατικών.
Κατεβάστε το φύλλο δεδομένων D.AMO
Χορηγός και γραμμένος από Penta Security.
VIA: bleepingcomputer.com
Related Posts
Η παραβίαση δεδομένων FinWise δείχνει γιατί η κρυπτογράφηση είναι η τελευταία σας άμυνα
Το ελάττωμα του WhatsApp API επέτρεψε στους ερευνητές να σκάσουν 3,5 δισεκατομμύρια λογαριασμούς
Το INE Security επεκτείνεται σε όλη τη Μέση Ανατολή και την Ασία για να επιταχύνει την ασφάλεια στον κυβερνοχώρο Upskillin
