Инцидент информационной безопасности у производителя карт

Крупный инцидент информационной безопасности зафиксирован в Корее. В результате инцидента информационной безопасности украдена информация миллионов клиентов компании Lotte Card, производителя кредитных карт. У некоторых клиентов утекли данные самих карт.

Генеральный директор Lotte Card Чо Чжва Джин (Cho Jwa-jin) и другие руководители компании принесли извинения клиентам на пресс-конференции, которая состоялась в Сеуле в четверг, 18 сентября.

Lotte Card, контрольный пакет акций которой принадлежит частному инвестиционному фонду MBK Partners, подтвердила, что в результате кибератаки потеряла данные 2,97 млн клиентов. Это примерно 30% всей клиентской базы компании (9,65 млн человек). Среди всех пострадавших пользователей у 280 тыс. человек утекли конфиденциальные платежные сведения, включая номера банковских карт, CVC-коды и уникальные 13-значные резидентские регистрационные номера (RRN). Это значительно повышает риск мошеннического использования скомпрометированных данных. У других 2,69 млн пострадавших клиентов данные карт были частично зашифрованы.

Утечка информации была подтверждена в ходе расследования, проведенного Службой финансового надзора и Корейским подразделением финансовой разведки. Было установлено, что злоумышленники украли 200 гигабайт данных. Это более чем в 100 раз превышает оценку компании Lotte Card, которая 1 сентября сообщила регулирующим органам о том, что утекли данные объемом 1,7 ГБ.

Известно, что все 280 тыс. клиентов, у которых утекли данные платежных карт, в период с 22 июля по 27 августа зарегистрировались в платежных сервисах, таких как Naver Pay и Samsung Pay, или на платформах маркетплейсов.

Начиная с 18 сентября Lotte Card рассылает уведомления пострадавшим клиентам. Лицам, которые могут в первую очередь стать жертвами мошенников, будут звонить по телефону с просьбой незамедлительно подать заявки на перевыпуск банковских карт. Кроме того, для клиентов создана специальная форма на сайте и открыта горячая телефонная линия, где они смогут самостоятельно проверить, была ли их информация скомпрометирована.

Lotte Card обязуется полностью возместить ущерб, понесенный клиентами. «В случае возникновения вторичных убытков, связанных с утечкой данных, мы также выплатим полную компенсацию после подтверждения ущерба», - заявил Чо Чжва Джин.

Клиентам, чья информация была раскрыта, в ближайшее время будет предложена беспроцентная рассрочка платежей на срок до 10 месяцев. Для клиентов, которым необходимо перевыпустить карты, годовая плата за обслуживание будет отменена на весь следующий год.

Чо Чжва Джин не исключил, что покинет свой пост до конца 2025 года. Кроме того, он пообещал провести перестановки в руководящих органах компании.

Несмотря на оперативно выявленный инцидент и принятый комплекс мер для пострадавших от утечки данных, компания Lotte Card, скорее всего, не избежит жестких санкций со стороны финансовых регуляторов Южной Кореи.

NICE Investors Service прогнозирует, что Lotte Card может быть оштрафована на сумму до 80 миллиардов вон (57,7 миллиона долларов США) за утечку данных. Агентство заявило, что при оценке кредитного рейтинга компании оно будет внимательно изучать влияние инцидента.  В частности, NICE Investors оценит уровень наложенных санкций со стороны регулятора и проследит, как будет меняться количество клиентов Lotte Card после утечки данных.

Источник: Korea JoongAng Daily