جریمه تاریخی ۴۰۹ میلیون دلاری برای آمازونِ کره جنوبی؛ وقتی سهلانگاری داخلی اطلاعات ۶۵ درصد یک کشور را لو داد!
بزرگترین جریمه نشت اطلاعات در تاریخ کره جنوبی رقم خورد! فروشگاه اینترنتی غولپیکر «کوپنگ»(Coupang) به دلیل لو رفتن اطلاعات بیش از ۳۳ میلیون شهروند، با جریمه سنگین ۴۰۹ میلیون دلاری مواجه شد.
بررسیها نشان میدهد این فاجعه نه حاصل یک حمله سایبری پیچیده، بلکه نتیجه یک انتقامجویی داخلی و بیخیالی مطلق مدیران شرکت بوده است.
۱. داستان از کجا شروع شد؟ کارمند سابق با کلیدهای دزدی!
ماجرا به اواخر سال ۲۰۲۴ برمیگردد؛ زمانی که یکی از کارمندان بخش فنی کوپنگ از شرکت جدا شد. این کارمند پیش از رفتن، «کلیدهای امنیتیِ» سیستمی که خودش طراحی کرده بود را دزدید.
او از اوایل سال ۲۰۲۵ با این کلیدها شروع به تست سیستم کرد و در طول ۷ ماه، آدرس، شماره تلفن، نام و تاریخچه خرید میلیونها کاربر را آرامآرام دانلود کرد. جالب اینجاست که او کل این دادهها را به صورت پروفایلهای شخصی درآورد و شروع به فرستادن ایمیلهای باجگیری به خودِ کاربران و شرکت کوپنگ کرد!
۲. چرا رگولاتور اینقدر عصبانی است؟ بیخیالی و پاک کردن ردپا!
سازمان حفاظت از دادههای کره جنوبی (PIPC) اعلام کرد جریمه سنگین این شرکت دو دلیل اصلی دارد:
- کوری سیستمهای دفاعی شرکت: در طول ۷ ماه حمله، ترافیک صفحاتی که این فرد به آنها دسترسی داشت چندین برابر وضعیت عادی شده بود و میلیونها بار تلاش برای ورود با حسابهای فیک انجام شد، اما سیستمهای کوپنگ هیچچیز را تشخیص ندادند! آنها تازه زمانی متوجه هک شدند که یک مشتری ایمیل باجگیری را برایشان فرستاد.
- نابود کردن مدارک (جرم بزرگتر): درست یک روز بعد از لو رفتن ماجرا، رگولاتور به شرکت دستور داد تا لاگها (گزارشهای ثبتشده سیستم) را دستنخورده نگه دارد. اما کوپنگ ۶ روز بعد، به صورت دستی بخش زیادی از گزارشهای وب را پاک کرد تا مقصر جلوه نکردن خود را پنهان کند! حتی پلیس در طول تحقیقات، یک لپتاپ مکبوک له شده را که با آجر سنگین شده و به کف رودخانه انداخته شده بود، کشف کرد!
۳. قربانیانی که اصلاً روحشان هم خبر نداشت!
آمار این نشت اطلاعات ترسناک است: بیش از ۳۳ میلیون عضو رسمی (معادل ۶۵ درصد کل جمعیت کره) اطلاعاتشان لو رفت. اما بخش عجیبتر این است که اطلاعات ۴.۳ میلیون نفر دیگر که اصلاً عضو کوپنگ نبودند هم دزدیده شد! این افراد کسانی بودند که دیگران برایشان هدیه یا بسته خریده بودند و آدرس و شمارهشان در سیستم ذخیره شده بود و روحشان هم از این ماجرا خبر نداشت. دولت ۴ بار به کوپنگ دستور داد به این افراد خبر بدهد، اما شرکت این کار را نکرد.
۴. تخلفات زیرپوستی دیگر؛ از لیست سیاه خبرنگاران تا جاسوسی از کاربران
بازرسیهای عمیقتر از این شرکت، پروندههای تاریک دیگری را هم باز کرد:
- جاسوسی مخفیانه از ۱۱ میلیون کاربر: کوپنگ از طریق یک برنامه تبلیغاتی، بدون اجازه کاربران، تاریخچه وبگردی و آدرس سایتهایی که آنها خارج از برنامه کوپنگ بازدید میکردند را جمعآوری و به حساب کاربریشان وصل میکرد! (یک جریمه ۱۳۲ میلیون دلاری جداگانه هم برای این بخش گرفت).
- لیست سیاه خبرنگاران: بخش لجستیک این شرکت مخفیانه نام ۷۱ خبرنگار بخش حوادث و پلیس را در یک «لیست سیاه استخدامی» قرار داده بود، صرفاً به این دلیل که اخبار منفی علیه انبار این شرکت منتشر کرده بودند!
۵. نتیجهگیری و وضعیت فعلی شرکت
این بحران باعث شد ارزش سهام کوپنگ از ابتدای سال جاری ۳۵ درصد سقوط کند. مدیرعامل موقت شرکت اکنون به عنوان متهم پرونده ممانعت از اجرای عدالت تحت بازجویی پلیس است و دادگاههای دستهجمعی شاکیان به زودی آغاز میشود.
این پرونده به تمام کسبوکارهای دیجیتال جهان یک درس بزرگ داد: هوش مصنوعی و سیستمهای دفاعی چقدر هم که پیشرفته باشند، اگر نظارت بر دسترسی کارمندان (Access Control) و اصول اولیه مدیریت بحران رعایت نشود، بزرگترین امپراتوریهای تجاری هم با کلید یک کارمند سابق فرو میپاشند.
تحلیل و روانسازی تخصصی: اتاق تحلیل امنیت داده ۲۴ نیوز (بهراد یوسفی)
