Tổ điều tra Hàn Quốc xác nhận rằng trong một sự cố xâm nhập tại Coupang vào tháng 11 năm ngoái, thông tin của 33.673.817 người dùng, bao gồm số điện thoại và mật khẩu cửa ra vào chung của khu dân cư, đã bị rò rỉ. Thủ phạm được xác định là một người từng làm việc tại Coupang, đã sử dụng thẻ ra vào điện tử bị làm giả để truy cập dịch vụ mà không cần quy trình xác thực riêng. Chính phủ cho biết sẽ yêu cầu công ty nộp bản kế hoạch các biện pháp ngăn ngừa tái diễn sự việc.

Theo Đoàn điều tra chung công – tư ngày 10, trong các cuộc tấn công diễn ra từ tháng 4 đến tháng 11 năm ngoái, tổng cộng 33.673.817 bản ghi thông tin người dùng, bao gồm họ tên và email, đã bị rò rỉ từ trang “chỉnh sửa thông tin cá nhân” của Coupang.

Ngoài ra, kẻ tấn công đã truy cập 148.056.502 lần vào trang danh sách địa chỉ giao hàng có chứa họ tên, số điện thoại và địa chỉ giao hàng; truy cập 50.474 lần vào trang chỉnh sửa danh sách địa chỉ giao hàng có chứa mật khẩu cửa ra vào chung. Trang danh sách đơn hàng, nơi có thể xem các sản phẩm đã đặt gần đây, cũng bị truy cập 102.682 lần.

Cuộc điều tra lần này cũng phát hiện nhiều vấn đề trong hệ thống bảo mật thông tin của Coupang tại thời điểm xảy ra sự cố. Kẻ tấn công, từng là nhân viên Coupang, đã đánh cắp khóa chữ ký của hệ thống xác thực người dùng mà mình từng quản lý, sau đó sử dụng khóa này để làm giả thẻ ra vào điện tử và truy cập trái phép vào dịch vụ. Trong quá trình này, các quy trình quản lý nội bộ như kiểm tra việc làm giả thẻ ra vào điện tử hay cập nhật khóa chữ ký của nhân viên đã nghỉ việc đều không tồn tại.

Ông Choi Woo-hyuk, Cục trưởng Cục Chính sách Mạng lưới Bảo mật Thông tin thuộc Bộ Khoa học và CNTT, cho biết: “Coupang không tách biệt giữa người phát triển và vận hành phần mềm, mà còn cấp quyền cho lập trình viên truy cập vào hệ thống quản lý khóa đang được sử dụng thực tế”, “Dựa trên kết quả điều tra của đoàn điều tra lần này, chúng tôi sẽ yêu cầu Coupang nộp kế hoạch thực hiện các biện pháp ngăn ngừa tái diễn và sẽ kiểm tra việc thực hiện đó”.