Модные бренды оштрафованы на 25 миллионов за утечку данных
Корейские «дочки» fashion-ритейлеров за утечку данных клиентов получили крупные штрафы. Утечка данных произошла в результате нарушения правил хранения данных в облаке.
Южнокорейская Комиссия по защите персональных данных (PIPC) по результатам своего заседания 12 февраля объявила о наложении штрафов на общую сумму более 36 млрд вон (около 25 млн долларов США) на местные подразделения компаний Louis Vuitton, Christian Dior Couture и Tiffany. Они наказаны за нарушения Закона Южной Кореи о защите персональных данных (PIPA). Регулятор также обязал нарушителей раскрыть на своих сайтах информацию о принятых мерах безопасности.
Наибольший штраф — 21,385 млрд вон (примерно 14,8 млн долларов) — получила компания Louis Vuitton Korea. Установлено, что устройство сотрудника было скомпрометировано в результате загрузки вредоносного ПО. Это позволило злоумышленникам получить учетные данные для доступа к SaaS-сервисам. В ходе трех отдельных инцидентов, произошедших в период с 9 по 13 июня 2025 года, были раскрыты персональные данные примерно 3,6 млн человек. Несмотря на то, что корейская «дочка» Louis Vuitton использовала платформу SaaS с 2013 года, она за все это время не ввела ограничения доступа на основе IP-адресов и не обеспечивала надежную аутентификацию для удаленного доступа.
Компания Christian Dior Couture Korea оштрафована на 12,236 млрд вон (примерно 8,5 млн долларов). В этом случае инцидент произошел, когда злоумышленники использовали методы голосового фишинга (вишинга) в отношении представителя службы поддержки клиентов. В результате были скомпрометированы персональные данные 1,95 млн клиентов. PIPC выяснила, что компания не обеспечила контроль доступа на основе IP-адресов, не ограничила использование инструментов массового экспорта данных и не проводила ежемесячный анализ журналов доступа — из-за этих пробелов в безопасности инцидент ИБ не замечали более трех месяцев. Корейская Комиссия по защите персональных данных также установила, что «дочка» Dior пропустила установленный законом срок (72 часа) для уведомления властей и пострадавших лиц после обнаружения инцидента.
Компания Tiffany Korea получила штраф в размере 2,412 млрд вон (около 1,7 млн долларов). Метод атаки был аналогичен тому, что злоумышленники выбрали при атаке на Dior: сотрудник службы поддержки клиентов был введен в заблуждение при помощи методов социальной инженерии в рамках фишинговой схемы, в результате чего неизвестный получил доступ к учетным данным. Это привело к компрометации персональных данных примерно 4600 человек. Как и конкуренты из Dior, компания Tiffany не обеспечила контроль доступа на основе IP-адресов и не ввела ограничения на массовую загрузку данных, а также не сообщила об утечке информации в течение требуемых законом 72 часов.
В рамках своего решения PIPC подчеркнула, что среды SaaS, используемые для обработки персональных данных, квалифицируются как «системы обработки персональных данных» в соответствии с корейским законодательством. Таким образом, организации обязаны обеспечивать доступ к системам по принципу минимальных привилегий, внедрять решения контроля доступа на основе IP-адресов и использовать надежные механизмы аутентификации, включая одноразовые пароли, цифровые сертификаты или аппаратные токены безопасности.
«Внедрение решения «программное обеспечение как услуга» (SaaS) не снимает с компании обязанности защищать персональные данные», — говорится в официальном заявлении южнокорейской комиссии по защите данных.
«Контроллеры данных должны в полной мере использовать функции безопасности, предоставляемые этими платформами, для предотвращения утечек», — отмечают в PIPC.
Напомним, что Louis Vitton и другие модные бренды весной-летом прошлого года потеряли персональные данные клиентов в ряде стран после масштабных фишинговых кампаний, направленных на пользователей платформы Salesforce.
Источник: SSO