De Zuid-Koreaanse Commissie voor de Bescherming van Persoonlijke Informatie maakte donderdag haar strafbesluit bekend: zij legde 624,68 miljard won (equivalent aan 410,1 miljoen dollar) en andere aanvullende financiële boetes op aan het in de VS genoteerde e-commercebedrijf, dat in Koreaanse handen is, vanwege de lek van gebruikersinformatie van vorig jaar. Dit lek trof 37,6 miljoen gebruikers, goed voor meer dan 70% van de totale bevolking van Zuid-Korea.
E-commercebedrijf Kupeng beloofde het systeem voor gegevensbeveiliging verder te versterken en alles in het werk te stellen om het vertrouwen van de consument te herstellen.
Deze boete vestigt een nieuw record voor de hoogste boete die aan één bedrijf in Zuid-Korea is opgelegd, en overtreft ruimschoots het bedrag van de boetes die zijn opgelegd in eerdere datalekzaken waarbij SK Telecom, KT en andere bedrijven uit Zuid-Korea betrokken waren.
De boete komt nadat toezichthouders een maandenlang onderzoek zijn gestart naar het bedrijf, bekend als de ‘Koreaanse Amazon’. Coolpeng heeft zijn hoofdkantoor in Seattle, VS, en het bedrijf is geregistreerd in Delaware, maar het grootste deel van zijn omzet komt van de Koreaanse binnenlandse markt.
Bij de online aankondiging van de strafmaatregel zei Song Kyung-hee, voorzitter van de Koreaanse Commissie voor de bescherming van persoonlijke informatie: “Dit informatielek kwam niet voort uit een moeilijke hackeraanval. De hoofdoorzaak is dat er ernstige gaten zitten in het basisbeveiligingsbeheersysteem van Coolpeng en dat het management van het bedrijf zelf faalt.”
Zuid-Koreaanse regelgevende autoriteiten en leden van het Congres onthulden dat het datalek enkele maanden onopgemerkt bleef totdat Coolpeng’s zelfonderzoek het in november vorig jaar ontdekte.
Uit het onderzoek bleek dat een voormalige Chinese softwareontwikkelaar bij Kupeng in het geheim de systeemverificatiesleutel bewaarde nadat hij het bedrijf had verlaten, en de sleutel ongeveer een jaar lang gebruikte om illegaal toegang te krijgen tot gebruikersinformatie.
De gebruikersinformatie die illegaal door de betrokken personen werd verkregen, omvatte privégegevens zoals namen, mobiele telefoonnummers en zelfs toegangswachtwoorden voor woongebouwen.
Kupeng zei dat de betrokken personen geen creditcardnummers, ID-nummers van bewoners en andere gevoeligere informatie hebben gestolen.
Kupeng verklaarde donderdag dat het bedrijf zijn gegevensbeveiligingssysteem uitgebreid zal upgraden om het vertrouwen van de gebruiker te herstellen, en onthulde ook dat het in beroep zal gaan tegen de boetebeslissing van de Personal Information Protection Commission.
De officiële verklaring van Kupeng: "Met betrekking tot het informatielekincident van vorig jaar hebben we proactief een aantal maatregelen genomen om secundaire schade te voorkomen en volledig feitelijk ondersteunend materiaal ingediend. Deze maatregelen zijn echter niet volledig in aanmerking genomen in de strafuitspraak van de commissie. We betreuren dit ten zeerste. We kijken ernaar uit om alle feiten via gerechtelijke procedures op te helderen."