酷澎顧客信息被查詢1.5億次……這種情況下還主張“只泄露3000個”嗎？

據10日的民官聯合調查結果顯示，酷澎（Coupang）大規模信息泄露事件中，顯示顧客姓名、電話號碼、地址等的“配送地目錄頁面”被點擊了1.5億次。這意味着，信息泄露規模比當初傳出的要大得多。該頁面很多情況下包含收發禮物的家人或朋友等個人信息，因此損失可能會進一步增加。

根據此次調查結果，從酷澎辭職的信息泄露者從“我的信息修改頁面”中竊取了包括名字和電子郵件在內的3367萬多件個人信息。酷澎去年底突然發表“自我調查”結果時主張，“雖然接近有3300萬次，但實際上儲存只有3000個”，因此被人認爲可能是想減少泄露的損失。韓國政府此次正式宣佈“泄露規模超過3300萬件”。據悉，該泄露者不僅點擊了1億次以上的配送地目錄頁面，還點擊了5萬多次可以知道共同玄關密碼的“配送地目錄修改頁面”，最近顯示明細的“訂購目錄頁面”也點擊了10萬多次。有人指出，這些信息用於廣告或營業營銷固然是問題，但如果流入電話詐騙等犯罪集團，可能會造成無法挽回的損失。

調查結果顯示，在外部入侵持續的7個月裏，酷澎的保安系統形同虛設。信息泄露者在酷澎任職期間，用事先僞造、變造的“電子出入證”在辭職後也自由出入內部系統。也就是說，只要酷澎方面辨別出接近服務器的電子出入證的真僞，就可以防止事故發生。更嚴重的問題是，酷澎也已經知道基於電子出入證的認證體系的弱點。據調查，酷澎通過模擬黑客等發現了系統的弱點，但沒有找到解決方案。年銷售額超過40萬億韓元的大型技術企業的低保安意識最終導致了數千萬顧客的損失。

但是，政府的制裁力度有限。根據《信息通信網法》，可以以沒有遵守“在得知侵害事故後24小時內申報”義務爲由徵收罰款，但最高金額僅爲3000萬韓元。不過，最終確定並宣佈信息泄露規模的個人信息保護委員會可以處以總銷售額3%的罰款。徹底、公正的調查固然是首要的，但是其結果帶來的懲罰也不能舉棋不定。