執行長才剛道歉 又爆「離職員工未撤銷存取權限」爭議
酷澎執行長朴大俊於11月30日在首爾市政府出席緊急會議時,就史上最大規模的個資外洩事件公開鞠躬致歉。他坦言,公司在資安防護與內控管理上存在嚴重漏洞,未能有效保護用戶個人資料,同時強調,已主動向主管機關通報並全力配合調查,將全面強化資安系統、改善內部權限管理與審查流程,避免類似事件再度發生,盡速重建大眾信任。
未料,今日又爆出負責處理公司內部身分驗證作業的中國籍前員工(即涉嫌竊資者),離職後原本應立即失效的「存取令牌簽署金鑰」並未被撤銷或更新,導致其仍保有進入系統的權限,能持續存取內部資料,成為此次洩密事件的關鍵破口。
所謂「存取令牌簽署金鑰」,是建立內部系統登入憑證的核心密碼。若把「令牌」比喻為一次性門禁卡,那麼「簽署金鑰」就像蓋在門禁卡上的官方印章,用來確認其真偽;沒有這枚印章,即使拿到門禁卡也無法開門。因此,在資安管理上,簽署金鑰應在人員離職時立即失效,避免遭非法使用。
對於金鑰管理疏漏,酷澎回應稱,簽署金鑰的認證有效期依類型不同而異,業界一般設定為5到10年,但未回答此次涉案金鑰的具體期限,強調相關細節仍待警方調查中,暫不便公開。
疑「酷澎開發人員」爆料:酷澎超過一半的IT員工為「中國籍」
一名自稱「酷澎開發人員」的網友,近日在上班族匿名社群平台「Blind」發文,爆料酷澎IT團隊的人力結構失衡。他聲稱,目前酷澎「超過一半的IT員工為中國籍」,幾年前比例約僅20%至30%,但逐季增加,且在全員大會介紹新進人員時,「幾乎都是中國人,其次才是印度人」。
該名發文者還指出,酷澎大量從中國招募工程師並提供極優渥待遇,包括配置位於首爾蠶室(Jamsil)和「龍山」(Yongsan)的高級住宅,以及子女就讀國際學校的學費補助,甚至比韓國本地員工享有的福利更優。他也提到,每季離職的多是韓國員工,且比例持續攀升。
PO文者認為,本次個資外洩事件與「草率引進所謂優秀的中國籍工程師」有關,直言自己「真的該離開了」。不過,文中提及的數據與內容尚未被證實,亦無法確認發文者身份,但由於Blind需公司信箱驗證,因此推測其可能確為內部員工。目前酷澎尚未就相關爆料作出回應或說明。
20多萬名受害者集結 籌備向酷澎提起「集體訴訟」
根據韓媒報導,業界人士透露,酷澎個資外洩事件爆發後短短2天內,Naver平台上已成立近10個籌備集體訴訟的社團,其中多個群組迅速累積上萬名受害者加入,截至目前已有20多萬名受害者響應集體訴訟。社團管理員表示,平台目的不只是宣洩情緒,而是將正式向酷澎提起「集體訴訟」並爭取賠償,目前已開始聯繫大型律師事務所,號召受害者在公告欄登記參與。
韓國法制限制 賠償金額難預料
然而,法律專家指出,韓國目前並未針對個資外洩設置正式的集體訴訟制度,即使法院判決賠償,也僅限參與訴訟的人受益。現階段唯有違反《資本市場法》才允許進行真正的集體訴訟。過去案例顯示賠償金額通常相當有限,2016年Interpark駭客事件中,1030萬名受害者中僅約2400人提告,最終每人僅獲賠10萬韓元;2014年三家信用卡公司外洩1億筆個資案,最高法院於2018年亦僅判賠每人10萬韓元。
涉案員工已離職出境 調查恐受阻
針對此次客戶個資外洩事件,酷澎已於11月25日向警方報案,指稱入侵公司資訊系統、洩漏資料的嫌疑人是一名任職於公司的中國籍前員工。首爾地方警察廳網路調查科目前已正式展開調查。不過,更令人憂心的是,該名中國籍員工在案發後已離職並離境,使調查程序可能面臨更大阻礙,也增加釐清事實與追責的難度。
