编者按:在数字化浪潮席卷全球的今天,个人信息安全已成为消费者最为关切的议题之一。近日,国际顶级奢侈品牌路易威登、迪奥与蒂芙尼因大规模客户数据泄露事件,被韩国个人信息保护委员会处以巨额罚款,总额高达360.33亿韩元。这一事件不仅揭示了即便是行业巨头,在数据安全管理上也可能存在严重疏漏,更为所有企业敲响了警钟:在享受SaaS(软件即服务)带来便利的同时,绝不能忽视对用户隐私的基本保护责任。从恶意软件入侵到语音钓鱼诈骗,这些看似“低级”的安全漏洞,恰恰暴露了企业在内部培训、技术防护与应急响应机制上的短板。消费者将个人信息托付给品牌,是基于对品牌信誉的信任,而这份信任一旦崩塌,再高昂的罚款也难以挽回。本文梳理了事件全貌,期待能引发行业与公众对数据安全的更深层思考。
路易威登、迪奥和蒂芙尼三家奢侈品牌发生客户个人信息泄露,涉及约555万人。韩国个人信息保护委员会对这三家公司处以总计360.33亿韩元的罚款,并责令其在官网上公开披露处罚内容。
个人信息保护委员会于12日宣布,在11日举行的第三次全体会议上,决定对路易威登韩国公司、克里斯汀·迪奥时装韩国公司及蒂芙尼韩国公司违反《个人信息保护法》的行为,处以总计360.33亿韩元的罚款和1080万韩元的附加处罚。委员会还责令这些公司在官网上公开此次处罚决定。
泄露规模方面,路易威登约360万人,迪奥约195万人,蒂芙尼约4600人,总计约555万人。这三家公司均因在运营基于SaaS(软件即服务)的客户管理系统时,遭遇账户劫持或语音钓鱼攻击,导致个人信息对外泄露。
路易威登的员工设备感染恶意软件,黑客窃取了软件账户凭证,导致去年6月约360万客户的个人信息泄露。泄露数据包括姓名、性别、国籍、电话号码、电子邮箱地址和出生日期。
路易威登未对外部访问进行IP地址限制,也未能实施一次性密码(OTP)等安全认证方法。委员会对路易威登处以213.85亿韩元的罚款。
迪奥的客服员工遭遇语音钓鱼诈骗,将软件访问权限交给了黑客,导致约195万人的信息泄露。值得注意的是,迪奥未每月至少监控一次包含个人信息下载的访问日志,致使漏洞在超过三个月的时间内未被发现。此外,公司在去年5月发现泄露后,在没有正当理由的情况下,未能在法律规定的72小时时限内通知受影响者,延迟了通报。委员会对迪奥处以122.36亿韩元的罚款和360万韩元的附加处罚。
蒂芙尼也发生了类似事件,一名客服员工被语音钓鱼欺骗,将软件访问权限转移给黑客,导致约4600人的信息外泄。蒂芙尼于去年5月9日发现泄露,但直到5月22日才进行报告和通知受影响者,超出了法定期限。委员会对蒂芙尼处以24.12亿韩元的罚款和720万韩元的附加处罚。
委员会相关人士表示:“即使采用SaaS,企业也有责任安全地管理个人信息。必须彻底落实IP限制、安全认证方法和访问日志监控等基本保护措施。”
