L’ente regolatore sudcoreano per la protezione dei dati ha multato Lotte Card, un fornitore di carte di credito con sede a Seoul, di 9,6 miliardi di won, circa 6,5 milioni di dollari, dopo che un attacco informatico ha messo alla luce informazioni personali appartenenti a milioni di clienti.
La sanzione è stata emanata dalla Personal Information Protection Commission, l’ente nazionale della privacy responsabile dell’applicazione delle leggi sulla protezione dei dati. La commissione concluse che Lotte Card violò il Personal Information Protection Act non proteggendo adeguatamente i dati sensibili dei clienti.
L’indagine ha rilevato che gli hacker hanno violato il sistema di pagamento online dell’azienda e hanno acceduto a file di log contenenti informazioni personali di credito appartenenti a circa 2,97 milioni di utenti. Tra i documenti esposti vi erano numeri di registrazione di residenti per circa 450.000 clienti. Questi numeri fungono da sistema nazionale di identificazione centrale in Corea del Sud e sono considerati dati personali altamente sensibili.
I regolatori hanno affermato che la violazione è avvenuta perché le informazioni personali sono state memorizzate in modo improprio nei log di sistema. Secondo la commissione, Lotte Card ha registrato diversi tipi di dati personali, inclusi i numeri di registrazione dei residenti, in testo semplice all’interno di file di registro collegati ai processi di pagamento online. Gli investigatori hanno anche stabilito che le protezioni di crittografia per questi log erano insufficienti.
La legge sudcoreana limita l’uso e la conservazione dei numeri di registrazione dei residenti. Le organizzazioni possono processare tali identificatori solo in circostanze limitate e devono applicare rigorose salvaguardie durante la loro gestione. La commissione concluse che Lotte Card processò gli identificatori oltre l’ambito consentito dalla legge.
Oltre alla sanzione finanziaria, il regolatore ha ordinato a Lotte Card di rafforzare le sue pratiche di protezione dei dati. L’azienda deve rivedere come vengono gestite le informazioni personali all’interno dei propri sistemi e migliorare i controlli di sicurezza relativi al trattamento dei dati sensibili. Le autorità hanno inoltre ordinato all’azienda di divulgare dettagli sull’incidente sul proprio sito web per informare i clienti coinvolti.
L’indagine è iniziata dopo che il Servizio di Supervisione Finanziaria della Corea del Sud ha segnalato la violazione alla Commissione per la Protezione delle Informazioni Personali nel settembre dell’anno precedente. Le autorità hanno quindi condotto un’inchiesta pubblica e privata congiunta per determinare come sia avvenuto l’attacco e se l’azienda avesse rispettato le normative sulla privacy.
I funzionari hanno detto che il caso porterà a ispezioni più ampie all’interno del settore finanziario. La commissione intende esaminare se altre istituzioni finanziarie stiano elaborando numeri di registrazione dei residenti senza una base legale chiara o adeguate garanzie.
Il regolatore ha dichiarato che le aziende che gestiscono informazioni personali sensibili devono regolarmente rivedere le proprie pratiche di protezione dei dati e applicare forti misure di sicurezza per prevenire accessi non autorizzati ed esposizione ai dati.