Die südkoreanische Datenschutzbehörde hat Lotte Card, einen Kreditkartenanbieter mit Sitz in Seoul, mit einer Geldstrafe von 9,6 Milliarden Won, also etwa 6,5 Millionen Dollar, belegt, nachdem ein Cyberangriff persönliche Informationen von Millionen Kunden offengelegt hatte.
Die Strafe wurde von der Personal Information Protection Commission verhängt, der nationalen Datenschutzaufsichtsbehörde des Landes, die für die Durchsetzung von Datenschutzgesetzen zuständig ist. Die Kommission kam zu dem Schluss, dass Lotte Card gegen das Personal Information Protection Act verstoßen hat, indem es sensible Kundendaten nicht ausreichend geschützt hat.
Die Untersuchung ergab, dass Hacker das Online-Zahlungssystem des Unternehmens gehackt und auf Protokolldateien mit persönlichen Kreditinformationen von etwa 2,97 Millionen Nutzern zugegriffen haben. Zu den offengelegten Unterlagen gehörten Einwohnerregistrierungen von etwa 450.000 Kunden. Diese Nummern dienen als zentrales nationales Identifikationssystem in Südkorea und gelten als hochsensible personenbezogene Daten.
Die Regulierungsbehörden erklärten, der Datenverstoß sei dadurch entstanden, dass personenbezogene Daten unsachgemäß in Systemprotokollen gespeichert wurden. Laut der Kommission zeichnete Lotte Card verschiedene Arten persönlicher Daten, einschließlich Einwohnerregistrierungsnummern, im Klartext in Logdateien auf, die mit Online-Zahlungsprozessen verbunden sind. Die Ermittler stellten außerdem fest, dass der Verschlüsselungsschutz für diese Protokolle unzureichend war.
Das südkoreanische Gesetz schränkt die Nutzung und Speicherung von Einwohnerregistrierungsnummern ein. Organisationen dürfen solche Identifikatoren nur in begrenzten Fällen verarbeiten und müssen beim Umgang mit ihnen strenge Schutzmaßnahmen anwenden. Die Kommission kam zu dem Schluss, dass Lotte Card die Kennungen über den gesetzlich zulässigen Umfang hinaus verarbeitete.
Zusätzlich zur finanziellen Strafe ordnete die Aufsichtsbehörde an, dass Lotte Card ihre Datenschutzpraktiken verschärfen soll. Das Unternehmen muss überprüfen, wie personenbezogene Daten in seinen Systemen behandelt werden, und die Sicherheitskontrollen im Zusammenhang mit der Verarbeitung sensibler Daten verbessern. Die Behörden wiesen das Unternehmen außerdem an, Details zum Vorfall auf ihrer Website offenzulegen, um die betroffenen Kunden zu informieren.
Die Untersuchung begann, nachdem der südkoreanische Finanzaufsichtsdienst im September des Vorjahres die Sicherheitsverletzung der Kommission für den Schutz personenbezogener Daten gemeldet hatte. Die Behörden führten daraufhin eine gemeinsame Untersuchung des öffentlichen und privaten Sektors durch, um festzustellen, wie der Angriff stattfand und ob das Unternehmen die Datenschutzbestimmungen eingehalten hatte.
Beamte erklärten, der Fall werde zu umfassenderen Inspektionen im Finanzsektor führen. Die Kommission plant zu prüfen, ob andere Finanzinstitute die Registrierungsnummern der Einwohner ohne klare rechtliche Grundlage oder ausreichende Schutzmaßnahmen verarbeiten.
Die Aufsichtsbehörde erklärte, dass Unternehmen, die mit sensiblen personenbezogenen Daten umgehen, ihre Datenschutzpraktiken regelmäßig überprüfen und starke Schutzmaßnahmen ergreifen müssen, um unbefugten Zugriff und Datenexposition zu verhindern.