La Comisión de Protección de Información Personal de Corea del Sur anunció su decisión de sanción el jueves: impuso 624.680 millones de wones (equivalentes a 410,1 millones de dólares) y otras sanciones financieras adicionales a la empresa de comercio electrónico de propiedad coreana que cotiza en Estados Unidos por el caso de filtración de información de usuarios del año pasado. Esta filtración afectó a 37,6 millones de usuarios, lo que representa más del 70% de la población total de Corea del Sur.
La empresa de comercio electrónico Kupeng prometió fortalecer aún más el sistema de protección de seguridad de datos y hacer todos los esfuerzos posibles para restaurar la confianza de los consumidores.
Esta multa establece un nuevo récord para la sanción más alta impuesta a una sola empresa en Corea del Sur, superando con creces la cantidad de sanciones impuestas en casos anteriores de violación de datos que involucraron a SK Telecom, KT y otras compañías de Corea del Sur.
La sanción se produce después de que los reguladores iniciaran una investigación de meses sobre la empresa, conocida como la “Amazon coreana”. Coolpeng tiene su sede en Seattle, EE. UU., y la empresa está registrada en Delaware, pero la mayor parte de sus ingresos proviene del mercado interno coreano.
Al anunciar en línea la decisión de la sanción, Song Kyung-hee, presidente de la Comisión Coreana de Protección de Información Personal, dijo: "Esta filtración de información no surgió de un difícil ataque de piratas informáticos. La causa fundamental es que existen graves lagunas en el sistema básico de gestión de seguridad de Coolpeng y el fracaso de la propia gestión de la empresa".
Las autoridades reguladoras y miembros del Congreso de Corea del Sur revelaron que la filtración de datos pasó desapercibida durante varios meses hasta que el autoexamen de Coolpeng la descubrió en noviembre del año pasado.
La investigación encontró que un ex ingeniero de desarrollo de software chino en Kupeng retuvo en secreto la clave de autenticación del sistema después de dejar la empresa y utilizó la clave para acceder ilegalmente a la información del usuario durante aproximadamente un año.
La información del usuario recuperada ilegalmente por las personas involucradas incluía datos privados como nombres, números de teléfonos móviles e incluso contraseñas de acceso a edificios residenciales.
Kupeng dijo que las personas involucradas no robaron números de tarjetas de crédito, números de identificación de residentes ni otra información más confidencial.
Kupeng declaró el jueves que la compañía actualizará integralmente su sistema de protección de seguridad de datos para restaurar la confianza de los usuarios y también reveló que apelará la decisión de sanción de la Comisión de Protección de Información Personal.
Declaración oficial de Kupeng: "Con respecto al incidente de fuga de información del año pasado, hemos tomado de manera proactiva una serie de medidas para evitar daños secundarios y hemos presentado materiales de respaldo fácticos completos. Sin embargo, estas medidas no fueron consideradas plenamente en el fallo de sanción del comité. Lo lamentamos profundamente. Esperamos aclarar todos los hechos a través de procedimientos judiciales".