Le régulateur sud-coréen de la protection des données a infligé une amende de 9,6 milliards de wons à Lotte Card, un fournisseur de cartes de crédit basé à Séoul, soit environ 6,5 millions de dollars, après qu’une cyberattaque ait révélé des informations personnelles appartenant à des millions de clients.
La sanction a été imposée par la Commission de protection des informations personnelles, l’organisme national de régulation de la vie privée responsable de l’application des lois sur la protection des données. La commission a conclu que Lotte Card avait violé la loi sur la protection des informations personnelles en ne protégeant pas adéquatement les données sensibles des clients.
L’enquête a révélé que des hackers ont violé le système de paiement en ligne de l’entreprise et accédé à des fichiers journaux contenant des informations personnelles de crédit appartenant à environ 2,97 millions d’utilisateurs. Parmi les dossiers exposés figuraient des numéros d’enregistrement de résidents d’environ 450 000 clients. Ces numéros constituent un système national d’identification central en Corée du Sud et sont considérés comme des données personnelles hautement sensibles.
Les régulateurs ont indiqué que la violation s’est produite parce que des informations personnelles ont été stockées de manière incorrecte dans les journaux système. Selon la commission, Lotte Card a enregistré plusieurs types de données personnelles, y compris les numéros d’enregistrement des résidents, en texte brut dans des fichiers journaux liés aux processus de paiement en ligne. Les enquêteurs ont également déterminé que les protections contre le chiffrement de ces journaux étaient insuffisantes.
La loi sud-coréenne limite l’utilisation et le stockage des numéros d’enregistrement des résidents. Les organisations ne sont autorisées à traiter ces identifiants que dans des circonstances limitées et doivent appliquer des garanties strictes lors de leur traitement. La commission a conclu que Lotte Card a traité les identifiants au-delà du champ d’application autorisé par la loi.
En plus de la pénalité financière, le régulateur a ordonné à Lotte Card de renforcer ses pratiques de protection des données. L’entreprise doit examiner la manière dont les informations personnelles sont traitées dans ses systèmes et améliorer les contrôles de sécurité liés au traitement des données sensibles. Les autorités ont également demandé à l’entreprise de divulguer des détails sur l’incident sur son site web afin d’informer les clients concernés.
L’enquête a débuté après que le Service de surveillance financière de la Corée du Sud a signalé la violation à la Commission de protection des informations personnelles en septembre de l’année précédente. Les autorités ont ensuite mené une enquête conjointe entre les secteurs public et privé afin de déterminer comment l’attaque s’est produite et si l’entreprise avait respecté les réglementations sur la vie privée.
Les responsables ont indiqué que cette affaire entraînerait des inspections plus larges au sein du secteur financier. La commission prévoit d’examiner si d’autres institutions financières traitent les numéros d’enregistrement des résidents sans base juridique claire ni garanties suffisantes.
Le régulateur a déclaré que les entreprises traitant des informations personnelles sensibles doivent régulièrement revoir leurs pratiques de protection des données et appliquer des mesures de protection strictes pour prévenir les accès non autorisés et l’exposition des données.