Три корейские организации наказаны за утечки данных
Сервис брачных знакомств Duo в Южной Корее наказан за утечку данных пользователей. Масштабная утечка данных произошла в результате хакерской атаки. Также корейский регулятор за утечки информации оштрафовал агентство аутсорсинга персонала и… кладбище.
На своем заседании в среду, 22 апреля, Комиссия по защите персональных данных (PIPC) Южной Кореи приняла решение наложить санкции на три компании за нарушение правил защиты персональных данных.
Общая сумма наложенных штрафов составила 4,79 млрд вон (более 3,2 млн долларов США). Под санкции регулятора попали KS Korea Employment Information, Duo Information и Geumneung Park Cemetery. Помимо выплаты штрафов, они обязаны будут принять корректирующие меры и публично отчитаться об исправлении ситуации по защите данных.
По данным PIPC, инцидент информационной безопасности в компании KS Korea Employment Information, которая специализируется на подборе аутсорсинговых команд для колл-центров и других проектов, начался с того, что хакер получил учетные данные администратора корпоративной системы обработки персональных данных. Войдя в панель администратора, злоумышленник загрузил и украл персональные данные 40 875 человек, включая консультантов, сотрудников головного офиса и соискателей (стажеров).
Утекшая информация включала копии документов о регистрации по месту жительства, копии удостоверений личности, копии банковских книжек и справки о родственных связях, предоставленные консультантами и сотрудниками KS Korea Employment при приеме на работу. Она содержала не только данные отдельных лиц, но и большое количество персональных данных членов их семей.
Через некоторое время хакер попытался продать имеющуюся у него базу данных в Дарквебе. Расследование показало, что KS Korea Employment использовала систему обработки пероснальных данных для общих функций управления персоналом и работы колл-центра, но не ограничивала доступ к ней по IP-адресу. Также компания не применяла методы безопасного доступа или аутентификации, предоставляя неограниченный внешний доступ к системе только с помощью логина и пароля.
Комиссия по защите персональных данных Кореи наложила на компанию KS Korea Employment штраф в размере 3,54 миллиарда вон (около 2,4 млн долларов США) и административный штраф в размере 4,2 миллиона вон (порядка 2800 долларов). Кроме того, уполномоченный орган обязал компанию регулярно проверять журналы доступа и активность загрузки персональных данных в своей системе обработки персональных данных, а также разработать и внедрить правила уничтожения персональных данных.
Компания Duo, которая управляет сервисом брачных знакомств, стала второй организацией, попавшей под санкции PIPC в ходе заседания 22 апреля. Она была оштрафована на 1,2 млрд вон (примерно 810 тыс. долларов) и получила административный штраф в размере 13,2 млн вон (8900 долларов) за утечку персональных данных всех участников организации.
В январе 2025 г. хакер заразил вредоносным ПО рабочий компьютер сотрудника Duo Information, подключенный к Сети. Получив информацию об учетной записи на сервере базы данных, хакер получил доступ к хранилищу организации, после чего загрузил и распространил персональные данные всех 427 464 подписчиков сервиса Duo.
В ходе расследования PIPC было установлено, что Duo Information не приняла необходимых мер для предотвращения утечки данных. Речь идет про ограничение доступа при определенном количестве неудачных попыток аутентификации с целью получения доступа к базе данных членов организации. Также было установлено, что компания применяла небезопасные алгоритмы шифрования к регистрационным номерам и паролям резидентов.
Кроме того, регулятор обнаружил, что компания собирала и хранила регистрационные номера участников без отдельных законных оснований. Компания Duo Information также не уничтожила 298 566 наборов полной информации о членах после истечения срока хранения, составляющего 5 лет.
Помимо этого, компания нарушила правила оповещения об инциденте ИБ. В PIPC утверждают, что Duo Information задержала подачу отчета об утечке данных на 72 часа без уважительной причины. Также было установлено, что, с учетом специфики деятельности брачных агентств, компания Duo собирает большие объемы конфиденциальной информации, отражающей жизнь и склонности человека, включая сведения об образовании, месте работы и отношении к религии, в дополнение к основным персональным данным потенциальных супругов. Комиссия по защите персональных данных отметила, что, несмотря на зафиксированную утечку информации, компания до сих пор не уведомила субъектов данных об инциденте, что свидетельствует о халатности с точки зрения предотвращения вторичного ущерба людям.
Третьей организацией, которую Комиссия по защите персональных данных Южной Кореи оштрафовала 22 апреля, стало кладбище Geumneung Park. Администрация места памяти допустила инцидент, в ходе которого хакеры использовали уязвимость для изменения параметров на странице поиска и внесения платы за обслуживание. В результате произошла утечка персональных данных 5373 пользователей, включая имена, номера регистрации и номера мобильных телефонов.
В ходе расследования установлено, что сотрудники Geumneung Park Cemetery пренебрегли проверками и мерами по устранению уязвимости, позволяющей изменять параметры на веб-сайте. Также было выявлено нарушение необходимых мер защиты информации: при передаче персональных данных через Интернет не использовалось шифрование, а номера регистрации хранились в открытом виде.
Комиссия наложила на кладбище Geumneung Park штраф в размере 54,2 миллиона вон (около 37 тыс. долларов). Организация должна принять корректирующие меры для усиления системы управления безопасностью персональных данных. В частности, необходимо наладить регулярную проверку уязвимостей системы обработки персональных данных и настроить инструменты шифрования для предотвращения повторения подобных инцидентов.
Источник: Digital Today