Des informations personnelles appartenant à des donateurs de grande valeur à de grandes associations caritatives sud-coréennes ont été exposées en ligne après que des données sensibles ont été publiées par erreur dans des documents financiers, touchant environ 1 600 personnes, y compris des artistes célèbres.
L’incident impliquait des organisations liées au Community Chest of Korea, la plus grande association caritative gouvernementale du pays. Selon des rapports, les documents de règlement interne ont été téléchargés sur le site de l’organisation sans supprimer correctement les informations personnelles des donateurs ayant fait de grandes contributions.
Les dossiers exposés contenaient des informations sensibles telles que des noms et des numéros d’enregistrement de résident sud-coréen. En Corée du Sud, les numéros d’enregistrement de résident fonctionnent comme un numéro d’identification national et sont considérés comme très sensibles car ils peuvent être utilisés pour la vérification d’identité dans de nombreux systèmes financiers et administratifs.
Les données ont été incluses dans des documents financiers publiés en ligne dans le cadre de la divulgation de routine des dossiers de dons. Les associations caritatives du pays publient généralement des rapports annuels détaillant les contributions et les résultats de la collecte de fonds. Dans ce cas, la version publiée sur le site contenait apparemment des informations personnelles non expurgées qui auraient dû être supprimées avant publication.
L’ensemble de données divulgué incluait environ 600 donateurs majeurs ayant chacun contribué plus de 20 millions de wons, soit environ 13 500 $. Beaucoup de ces donateurs sont des personnalités publiques, notamment des politiciens, des chefs d’entreprise et des artistes. Les rapports indiquent que le nombre total de personnes dont les données ont été exposées dans des documents connexes a atteint environ 1 600.
L’association a déclaré avoir pris connaissance du problème après la publication des documents en ligne et avoir formé une équipe de réponse pour enquêter et traiter la violation. Selon des déclarations citées dans des reportages locaux, l’organisation a commencé à examiner la manière dont les fichiers étaient téléchargés et a commencé à informer les donateurs concernés.
En vertu de la loi sud-coréenne sur la protection des informations personnelles, les organisations qui détectent une fuite de données personnelles doivent signaler l’incident aux autorités dans un délai de 72 heures. L’association a indiqué qu’elle prévoyait d’informer les régulateurs et de contacter individuellement les personnes concernées dans le cadre de son processus de réponse.
Cette exposition a suscité des inquiétudes quant à la gestion des informations sensibles des donateurs par les organisations à but non lucratif. Les donateurs qui contribuent de grandes sommes à des associations caritatives s’attendent souvent à la protection de leurs informations personnelles, surtout lorsque ces informations incluent des numéros d’identification pouvant être utilisés dans des systèmes administratifs ou financiers.
Les autorités devraient examiner l’incident dans le cadre d’une surveillance plus large des pratiques de protection des données personnelles. L’enquête se concentrera sur la manière dont les documents contenant les informations non expurgées ont été préparés et téléchargés, ainsi que sur le respect des procédures existantes pour la publication des déclarations financières.
L’association a indiqué qu’elle poursuivait son examen interne tout en prenant des mesures pour prévenir des incidents similaires à l’avenir. L’organisation a également indiqué qu’elle coopérerait avec les autorités et fournirait des mises à jour aux personnes concernées par la fuite.