$73.1385.18

В Южной Корее утекли данные почти полумиллиона клиентов брачного агентства

Российская Газета

В Южной Корее разгорелся скандал вокруг крупной утечки персональных данных клиентов ведущего местного брачного агентства Duowon Information Co. (Duo). Как сообщили власти, в результате кибератаки в открытый доступ попали сведения почти о 430 тысячах пользователей, включая крайне чувствительную информацию.

В Южной Корее утекли данные почти полумиллиона клиентов брачного агентства
© Российская Газета

По данным Комиссии по защите персональных данных, инцидент произошел еще в январе прошлого года, когда рабочий компьютер сотрудника компании, имевший доступ к базе данных клиентов, был заражен вредоносным программным обеспечением. Злоумышленник получил учетные данные для доступа к серверу и скачал информацию обо всех 427 464 клиентах компании.

Среди утекших данных - имена, даты рождения, адреса, телефоны, электронная почта, а также зашифрованные пароли и регистрационные номера. При этом специфика бизнеса привела к утечке и более деликатной информации: сведения о семейном положении (включая повторные браки), месте работы, образовании, росте, весе, группе крови, религии, увлечениях и даже положении в семье.

Проверка показала, что компания допустила серьезные нарушения требований безопасности. В частности, не были введены ограничения на количество попыток входа в систему, использовались недостаточно надежные алгоритмы шифрования, а часть персональных данных собиралась и хранилась без законных оснований.

Кроме того, как выяснилось, Duowon не удаляла данные клиентов по истечении установленного срока хранения: в базе оставались почти 300 тысяч записей, которые должны были быть уничтожены.

Отдельные претензии вызвали действия компании уже после инцидента. Несмотря на выявление утечки, компания более 72 часов не уведомляла регулятора и не информировала пострадавших пользователей, что могло увеличить риск вторичного ущерба.

В итоге компания оштрафована на общую сумму около 1,2 млрд вон (около 850 тысяч долл.), а также обязана уведомить всех пострадавших и усилить систему защиты данных. Duowon предписано публично раскрыть информацию о принятых дисциплинарных мерах на своем сайте.