La Commission sud-coréenne de protection des informations personnelles a annoncé jeudi sa décision en matière de sanctions : elle a imposé 624,68 milliards de wons (équivalent à 410,1 millions de dollars) et d'autres sanctions financières supplémentaires à la société de commerce électronique coréenne cotée aux États-Unis pour l'affaire de fuite d'informations sur les utilisateurs de l'année dernière. Cette fuite a touché 37,6 millions d'utilisateurs, soit plus de 70 % de la population totale de la Corée du Sud.
La société de commerce électronique Kupeng a promis de renforcer davantage le système de protection des données et de tout mettre en œuvre pour restaurer la confiance des consommateurs.
Cette amende établit un nouveau record pour la sanction la plus élevée imposée à une seule entreprise en Corée du Sud, dépassant de loin le montant des sanctions imposées dans de précédentes affaires de violation de données impliquant les sociétés sud-coréennes SK Telecom, KT et d'autres sociétés.
Cette sanction intervient après que les régulateurs ont lancé une enquête de plusieurs mois sur l’entreprise, connue sous le nom d’« Amazon coréenne ». Coolpeng a son siège à Seattle, aux États-Unis, et la société est enregistrée dans le Delaware, mais la plupart de ses revenus proviennent du marché intérieur coréen.
Lors de l'annonce en ligne de la décision de sanction, Song Kyung-hee, président de la Commission coréenne de protection des informations personnelles, a déclaré : « Cette fuite d'informations ne découle pas d'une attaque de pirate informatique difficile. La cause profonde est qu'il existe de graves failles dans le système de gestion de base de la sécurité de Coolpeng et l'échec de la gestion de l'entreprise. »
Les autorités de régulation sud-coréennes et les membres du Congrès ont révélé que la fuite de données était passée inaperçue pendant plusieurs mois jusqu'à ce que l'auto-examen de Coolpeng la découvre en novembre de l'année dernière.
L'enquête a révélé qu'un ancien ingénieur chinois en développement de logiciels chez Kupeng avait secrètement conservé la clé d'authentification du système après avoir quitté l'entreprise et l'avait utilisée pour accéder illégalement aux informations des utilisateurs pendant environ un an.
Les informations utilisateur récupérées illégalement par les personnes impliquées comprenaient des données privées telles que des noms, des numéros de téléphone portable et même des mots de passe d'accès à des immeubles résidentiels.
Kupeng a déclaré que les personnes impliquées n'avaient pas volé de numéros de carte de crédit, de numéros d'identification de résident et d'autres informations plus sensibles.
Kupeng a déclaré jeudi que la société mettrait à niveau complètement son système de protection de la sécurité des données pour restaurer la confiance des utilisateurs, et a également révélé qu'elle ferait appel de la décision de sanction de la Commission de protection des informations personnelles.
Déclaration officielle de Kupeng : "Concernant l'incident de fuite d'informations de l'année dernière, nous avons pris de manière proactive un certain nombre de mesures pour éviter des dommages secondaires et soumis des documents factuels complets à l'appui. Cependant, ces mesures n'ont pas été pleinement prises en compte dans la décision de sanction du comité. Nous le regrettons profondément. Nous sommes impatients de clarifier tous les faits par le biais de procédures judiciaires. "