Informazioni personali appartenenti a donatori di alto valore di importanti enti beneficenti sudcoreani sono state esposte online dopo che dati sensibili sono stati pubblicati erroneamente in documenti finanziari, coinvolgendo circa 1.600 persone, inclusi noti artisti.
L’incidente ha coinvolto organizzazioni collegate alla Community Chest of Korea, la più grande associazione benefica governativa del paese. Secondo i rapporti, i documenti interni di accordo sono stati caricati sul sito web dell’organizzazione senza rimuovere correttamente i dati personali appartenenti ai donatori che avevano dato grandi contributi.
I documenti esposti includevano informazioni sensibili come nomi e numeri di registrazione dei residenti sudcoreani. In Corea del Sud, i numeri di registrazione dei residenti funzionano come numero di identificazione nazionale e sono considerati altamente sensibili perché possono essere utilizzati per la verifica dell’identità in molti sistemi finanziari e amministrativi.
I dati sono stati inclusi in materiali finanziari pubblicati online come parte della divulgazione di routine dei registri delle donazioni. Le organizzazioni benefiche nel paese di solito pubblicano rapporti annuali di regolamento che dettagliano i contributi e i risultati della raccolta fondi. In questo caso, la versione pubblicata sul sito web conteneva presumibilmente informazioni personali non redatti che avrebbero dovuto essere rimosse prima della pubblicazione.
Il dataset trapelato avrebbe incluso circa 600 grandi donatori ciascuno che avevano contribuito con più di 20 milioni di won, ovvero circa 13.500 dollari. Molti di questi donatori sono figure pubbliche, tra cui politici, leader aziendali e artisti. I rapporti hanno riferito che il numero complessivo di individui i cui dati sono stati esposti in documenti correlati ha raggiunto circa 1.600.
L’organizzazione ha dichiarato di essere venuta a conoscenza del problema dopo che i documenti sono stati pubblicati online e ha formato una squadra di risposta per indagare e affrontare la violazione. Secondo dichiarazioni citate nei reportage locali, l’organizzazione ha iniziato a rivedere come i file venivano caricati e ha iniziato a notificare i donatori interessati.
Secondo la Legge sulla Protezione delle Informazioni Personali della Corea del Sud, le organizzazioni che rilevano una fuga di dati personali devono segnalare l’incidente alle autorità entro 72 ore. L’organizzazione ha dichiarato di intendere notificare i regolatori e contattare individualmente le persone interessate come parte del suo processo di risposta.
L’esposizione ha sollevato preoccupazioni riguardo alla gestione delle informazioni sensibili dei donatori da parte delle organizzazioni non profit. I donatori che contribuiscono con somme ingenti a enti di beneficenza spesso si aspettano che i propri dati personali siano protetti, specialmente quando le informazioni includono numeri identificativos utilizzabili in sistemi amministrativi o finanziari.
Si prevede che le autorità esamineranno l’incidente come parte di una supervisione più ampia delle pratiche di protezione dei dati personali. L’indagine si concentrerà su come i documenti contenenti le informazioni non redatti sono stati preparati e caricati, e se siano state seguite le procedure esistenti per la pubblicazione delle dichiarazioni finanziarie.
L’organizzazione ha dichiarato che sta continuando la sua revisione interna mentre adotta misure per prevenire incidenti simili in futuro. L’organizzazione ha inoltre dichiarato che collaborerà con le autorità e fornirà aggiornamenti a coloro che sono stati colpiti dalla fuga di notizie.