南韓隱私主管機關上週基於2025年的雲端客戶資料庫大規模資料外洩事件,對同屬精品集團LVMH的三個品牌LV、Dior與Tiffany罰款超過360億韓元,約合2,500萬美元。
韓國個人資訊保護委員會(Personal Information Protection Committee,PIPC)上週針對三家精品業者韓國分公司去年個資外洩事件說明調查結果,以及裁罰金額。三家業者皆為使用軟體即服務(SaaS)服務Salesforce儲存及管理客戶資料時,遭遇資料外洩。
LV資料外洩事件影響多家分公司,包含韓國、英國、香港及土耳其,另外有報導指出臺灣、瑞典、義大利分公司也受影響,不過,LV得知事發後,就在網站公布。Dior和Tiffany事件則是發生在5月,在數月後才公開通知客戶及通報主管機關。
根據韓國政府的調查,LV 員工設備感染惡意軟體,導致駭客竊取他們的 SaaS 帳戶資訊。因此,約 360 萬人的個人資訊籨2025年6月9日至13日被洩露了三次。調查顯示, LV並未限制IP位址或其他方式存取權限,且在處理人員從公司外部存取Salesforce時,未採用安全的身分驗證方式。
Dior和Tiffany的事發原因及被追加罰款理由相似。Dior和Tiffany皆為客服人員遭到語音釣魚詐騙,被駭客騙取存取其服務軟體的權限。其中Dior對個資下載在內的存取日誌每月至少未檢查一次,導致資料外洩事件持續三個多月未被發現。最後,Dior和Tiffany分別導致約195萬名客戶及約4,600人的個人資料遭外洩。但是,兩家公司在得知資料外洩事件(2025年5月7日)72小時後(2025年5月12日)才通知客戶,且無正當理由,遭韓國政府另外增加罰款。
個人資訊保護委員會對三家業者處以罰款,並責令該公司在其網站上公開揭露被罰情事。韓國主管機關對LV罰款 213.85億韓元,對Dior罰款122.36億韓元,另加360萬韓元罰款,而對Tiffany罰款24.12億韓元,處罰720萬韓元。總計360.33億韓元的罰款和1080萬韓元的行政費用。
韓國政府強調,即使企業採用服務型軟體,安全管理個人資訊的責任也不會被免除或轉移。因此,個人資訊處理者必須全面實施服務提供的個人資訊保護功能,以防止個人資訊外洩。
LVMH三家品牌資料外洩皆可能是駭客組織ShinyHunter所為,這個組織並聲稱駭入法國零售業巨人Kering旗下精品Gucci、Balenciaga、YSL等精品品牌、香奈兒、安聯人壽,甚至Google、Cisco等科技業者。
熱門新聞
2026-02-23
2026-02-23
2026-02-20
2026-02-23
2026-02-23
2026-02-23
2026-02-23