В Южной Корее произошла массовая утечка персональных данных клиентов крупнейшего в стране маркетплейса Coupang (Купанг). Проблема затронула 33,7 млн пользователей онлайн-ритейлера, а это примерно 65% населения Кореи, где в общей сложности проживает около 52 млн человек.
Поначалу на всю эту историю я не обратила внимания. Но недавно мне, как человеку, имевшему в Купанг аккаунт и активно пользовавшемуся услугами данной площадки во время проживания в Сеуле, пришло электронное письмо, где меня проинформировали о произошедшем и предоставили рекомендации по предотвращению возможного ущерба, такого как подмена личности и фишинг.
Фрагменты уведомления в переводе на русский язык можно увидеть в галерее чуть ниже.
Надо заметить, что Купанг на самом деле штука очень удобная. Во-первых, там можно найти практически все, во-вторых, работает все четко и быстро, в-третьих, что самое удобное, не нужно бегать в пункты выдачи заказов или сидеть дома, ожидая курьера.
Достаточно отметить в настройках, чтобы посылки оставляли у входа, и можно забирать доставленные товары в удобное для себя время, не опасаясь при этом, что их возьмет кто-то другой. Если только кто-нибудь из соседей сделает это по ошибке, но в таком случае все обычно быстро возвращают на место с извинениями.
У меня сложилось впечатление, что услугами Купанг в Южной Корее не пользуются, пожалуй, только младенцы и дряхлые старики. И то, по поводу стариков я не уверена.
Конечно, имеются у данного маркетплейса и свои недостатки, но говорить о них не вижу смысла. Лучше вернусь к ситуации с утечкой данных.
Понятно, что после отъезда из Кореи меня все случившееся не затрагивает никак, но мне захотелось узнать поподробнее, что же все-таки произошло, и чем это может грозить пользователям.
По сведениям ряда южнокорейских изданий, во взломе подозревают бывшего служащего Купанг из Китая. а некоторые журналисты писали, что уволенному сотруднику просто забыли закрыть доступ к электронным ключам шифрования, чем он не преминул воспользоваться.
Представители компании не стали раскрывать, кто стоит за кибератакой, но сообщили, что утечка данных, вероятно, началась еще в июне текущего года с сервера, находящегося в другой стране.
18 ноября Купанг получил оповещение о несанкционированном доступе к 4,5 тысячам аккаунтов клиентов, о чем были немедленно оповещены национальные регуляторы в области защиты данных.
В результате последующих проверок информационных систем выяснилось, что ущерб сильно приуменьшен, и утечка могла коснуться почти 34 млн клиентов.
В результате инцидента стали доступны сведения, содержащие имена, адреса электронной почты и номера телефонов покупателей, адреса доставки вместе с кодами от входных дверей подъездов, а также некоторые детали заказов.
В Купанг уверяют, что пароли для входа в аккаунт, данные о кредитных картах и счетах, а также коды таможенного оформления скомпрометированы не были.
Поэтому, чтобы обезопасить себя, достаточно не переходить по ссылкам из неизвестных источников, при общении с продавцами сверять номера телефонов с указанными на веб-сайте и сменить коды для входа в жилые комплексы, если они были внесены в адресную книгу Купанг.
Однако, профессор Ким Сын Чжу из Высшей школы информационной безопасности Корейского университета оказался не столь оптимистичен.
Эксперт уверен, что если ключ шифрования для генерации токенов доступа уволенного сотрудника не был вовремя отозван или обновлен, этот специалист, имеющий права разработчика, имел свободный доступ в систему и мог похитить важные данные, включая платежную информацию, как во время работы, так и после увольнения.
В связи с этим, по мнению профессора, всем пользователям Купанг необходимо:
- изменить пароль своей учетной записи;
- немедленно удалить все дебетовые и кредитные карты, зарегистрированные на платформе;
- поменять PIN-коды для этих карт.
Правительство Южной Кореи также призывает жителей страны быть бдительными:
- проверять подозрительные ссылки на фишинг через специальную службу;
- вводить свои данные только на проверенных сайтах;
- не передавать никому коды подтверждения, которые могут быть использованы для мобильных платежей;
- помнить о том, что банки и государственные органы и легитимные приложения никогда не просят установить программу для удаленного доступа по телефону или через смс;
- если такая программа все же была установлена, немедленно удалить ее с помощью мобильного антивируса и аннулировать и перевыпустить все средства финансовой идентификации (данные карт, цифровые сертификаты) в случае использования их с зараженного телефона.
А президент Южной Кореи Ли Чже Мён заявил, что виновных в произошедшем необходимо как можно быстрее установить и привлечь к ответственности.
В общем, перефразируя известную поговорку, не было печали, установила баба себе Купанг.
После инцидента, несмотря на все извинения, принесенные компанией, и уверения в том, что ситуация не так страшна, как кажется, клиенты утратили веру в безопасность сервиса и стали массово переходить на другие платформы. Так, всего за четыре дня (с 1 по 5 декабря) Купанг потерял 1, 81 млн пользователей.
В то же время конкуренты показали значительный рост, особенно Naver Plus Store, объем доставок у которого увеличился за этот период на 30,7%.
Насколько сохранными будут персональные данные в Naver и на других ресурсах, покажет время. Но что-то мне подсказывает, что стопроцентных гарантий в цифровой среде быть не может.
Во-первых, "Aliena nobis, nostra aliis", что в моем вольном переводе означает: "Ежели один человек закодировал, другой завсегда хакнуть может".
Во-вторых, как показала история с Купанг, иногда даже взламывать ничего не надо. Достаточно одного-двух не слишком добросовестных сотрудников, чтобы данные больше чем половины населения страны попали в неизвестно чьи руки.
И это в Южной Корее – стране со строгими законами в области защиты персональных данных и весьма дисциплинированными гражданами!
Так что же делать, чтобы минимизировать риски?
Поскольку полностью отказаться от использования интернет-сервисов в современном мире невозможно, лично я стараюсь следовать рекомендациям специалистов, которые советуют:
- использовать те сайты и приложения, где нужно сообщать о себе лишь минимум информации, а не предоставлять сразу все сведения, вплоть до селфи с паспортом;
- устанавливать для разных аккаунтов разные пароли и регулярно их менять;
- не хранить все данные в одном гаджете;
- не пересылать важные документы по незащищенным каналам связи;
- не открывать неизвестные ссылки, не читать сомнительные письма, не отвечать на звонки с незнакомых номеров.
Правда, на звонки я порой отвечаю не глядя, а пароль для входа в какой-либо аккаунт меняю, только если его забуду. Но в остальном мне удается придерживаться вышеперечисленных правил.
При этом, как ни крути, при регистрации где бы то ни было приходится давать согласие на обработку персональных данных, поэтому чувствовать себя в полной безопасности я все равно не могу. Особенно с учетом того, что мне иногда все же звонят и пишут всякие подозрительные личности, называющие меня по имени-отчеству. Где-то же они эти сведения берут?
Значит, остается только надеяться, что каких-либо глобальных утечек, последствия которых придется расхлебывать всем вместе и каждому по отдельности в обозримом будущем не случится.
А вы беспокоитесь о том, что ваши личные данные могут оказаться в чужих руках? И что предпринимаете для того, чтобы подобного не случилось?
(По материалам экспертно-аналитического центра "InfoWatch", интернет-издания "Коммерсант" и Телеграм-канала "Вместе в Корее")
Спасибо, что дочитали до конца. ЗДЕСЬ вы можете подписаться на мой канал, возможно, там есть еще что-то интересное для вас. И не забудьте поставить лайк, если статья вам понравилась.
Пожалуйста, будьте корректны в комментариях. Помните, мы в ответе за то, что говорим и пишем.