Güney Koreli yetkililer, e-ticaret devi Coupang’ın, şirketteki büyük veri sızıntısına neden olduğunu düşündükleri güvenlik sistemlerindeki zafiyetleri gidermesi gerektiğini söyledi. Olayla ilgili hükümet liderliğindeki soruşturmanın ilk bulgularını açıklayan Bilim Bakanlığı, sızıntıdan, kimlik doğrulama sistemindeki zafiyetlerin farkında olan eski bir Coupang mühendisini sorumlu tuttu ve kayıtlara göre, Nisan ayında başlayan ve Kasım ayına kadar süren veri ihlalinden üç ay önce, Ocak 2025’te sisteme erişim sağlamaya çalıştığını belirtti.
Coupang veri ihlali soruşturması için süreç devam ediyor
ABD borsasında işlem gören Coupang Inc. tarafından işletilen Coupang Korea, Güney Kore’nin en kötü veri ihlallerinden birini yaşadı ve bu durum, Amerikalı yetkililerin ABD teknoloji şirketlerine yönelik muamele konusunda endişelerini dile getirmesinin ardından Washington ile ticari sürtüşmeyi artırdı.
Bakanlık, soruşturmanın yaklaşık 33.7 milyon müşterinin kişisel verilerinin sızdırıldığını doğruladığını söyledi. Bakanlık: “Saldırgan, kullanıcı kimlik doğrulama zafiyetlerinden yararlanarak, uygun bir giriş yapmadan kullanıcı hesaplarına erişti ve büyük ölçekli yetkisiz bilgi sızıntılarına neden oldu” dedi.
Bakanlık, eski çalışanı, sahte giriş belirteçleri oluşturmak ve müşteri hesaplarına yetkisiz erişim sağlamak için kullanılan, imzalama anahtarı olarak bilinen dahili bir güvenlik anahtarını çalmakla suçladı. Eski mühendisin Coupang’ın kullanıcı kimlik doğrulama sisteminin bazı bölümlerini tasarlayıp geliştirdiğini ve geliştirici ayrıldıktan sonra şirketin sahte giriş ve döndürme imzalama anahtarlarını tespit edemediğini belirtti.
Bakanlık: “Sahte veya değiştirilmiş elektronik erişim kartları için doğrulama sistemi yetersizdi ve bu da saldırıları önceden tespit etmeyi veya engellemeyi zorlaştırıyordu. Coupang’ın normal düzenleme sürecinden geçmeyen elektronik erişim kartları için bir tespit ve engelleme sistemi uygulamaya koyması gerekiyor” dedi.
Veri sızıntısıyla ilgili polis ve ülkenin kişisel veri koruma kurumu tarafından yürütülen ayrı soruşturmalar devam ediyor. Bakanlık, Coupang’ı, ihlali bildirmek için gerekli 24 saatlik süreyi aşarak bilgi ağı yasasını ihlal etmekle suçladı ve yasa uyarınca 30 milyon won’a (20.596 dolar) kadar idari para cezası uygulamayı planladığını ekledi. Bakanlık, Coupang’ın veri ihlalini 17 Kasım saat 16:00’da öğrendiğini ve 19 Kasım saat 21:35’te yetkililere bildirdiğini açıkladı. Ayrıca, Coupang’ı veri sızıntısının nedenini analiz etmek için verilen veri koruma emrine uymamakla suçladı ve konuyu soruşturma için yetkililere sevk etti.