廣告
酷澎駭客調查出爐!20萬台灣用戶5種個資外洩 數發部認定4大缺失可重罰
【記者蕭文康/台北報導】數發部數位產業署於2026年2月25日上午邀集法律、資安專家學者、刑事警察局及國家資通安全研究院組成行政調查小組,赴酷澎台灣進行實地個資行政檢查,發現酷澎台灣的個資管理存有4大缺失,後續將依《個人資料保護法》及《數位經濟相關產業個人資料檔案安全維護管理辦法》等相關規定裁處。
數產署還原酷澎自去年11月以來回報個資外洩調查過程
數產署今指出,2025年11月酷澎韓國(Coupang Corp.)發生個資外洩事件,數產署第一時間即請酷澎台灣說明,並確認台灣用戶資料是否受到影響。當時酷澎台灣回報並公開聲明,依據調查無證據顯示酷澎台灣的消費者個資有外洩現象,並表示已委由第三方資安公司進行調查中,數產署即要求酷澎台灣即時回報韓國或第三方之最新調查情形。
為進一步釐清酷澎台灣個資保護情形,數產署於2025年12月24日再次邀集法律、資安之專家學者,會同資安院,赴該公司進行實地個資行政檢查。酷澎台灣仍表示第三方資安公司尚在調查中,並再度強調依當時調查尚無證據顯示有台灣用戶受到影響。數產署再度要求酷澎台灣以雙週為頻率,回報韓國及第三方資安公司之調查進度,如涉台灣用戶應於第一時間立即回報。
酷澎台灣後續於2026年1月12日、26日及2月9日回報調查進度,均表示調查尚在進行中,仍無明確證據顯示台灣用戶資料受影響。
2月10日酷澎證實逾20萬名台灣用戶受影響
惟2026年2月10日,韓國科學技術情報通訊部發布酷澎韓國個資外洩調查結果顯示,攻擊者於2025年11月16日及25日兩次發送給酷澎韓國之電子郵件,聲稱「由於 Coupang 系統存在不難發現的漏洞,數十億條用戶隱私數據面臨外洩風險,韓國、日本、台灣用戶皆受影響」,酷澎台灣遂於2026年2月23日通報本事件,表示經第三方資安公司鑑識,已證實有台灣用戶遭非法存取。
數產署行政檢查4項缺失、後續將進行裁罰
數產署於2026年2月25日上午邀集法律、資安專家學者、刑事警察局及資安院組成行政調查小組,赴酷澎台灣進行實地個資行政檢查,經初步瞭解事件說明如下:
一.攻擊者與酷澎韓國攻擊事件係為同一人,為酷澎韓國離職員工,並以持有備援金鑰得以偽造客戶登入驗證之相同手法,擷取酷澎台灣之部分使用者資料。
二.依酷澎台灣所提出之第三方資安公司鑑識報告顯示,攻擊者是透過2,000多個不同的IP網址,登入並接觸(Access)了20萬4,552名酷澎台灣用戶的個資,包括姓名、電子郵件、電話號碼、配送地址,及部份訂單紀錄等。
三.依先前酷澎台灣表示,台灣與韓國的用戶資料庫有區隔,惟檢查結果發現,不同資料庫之備援金鑰係相同,爰可使用同一備援金鑰即可存取。
四.酷澎未刪除離職員工之權限及定期更換備援金鑰,爰離職員工仍可以原取得之備援金鑰進行資料庫存取。
數產署強調,後續數產署將依《個人資料保護法》及《數位經濟相關產業個人資料檔案安全維護管理辦法》等相關規定,持續對鑑識報告及各項情事進行查核,並就調查事證結果,依法定程序辦理後續裁處事宜。
至於裁罰金額多少,雖然個資法最高裁罰金額為1500萬元,但數產署表示,因為還要酷澎補正缺失,還待最後判定,因此裁罰金額還未確定。
