Persoonlijke informatie van hooggewaardeerde donateurs van grote Zuid-Koreaanse goede doelen werd online blootgesteld nadat gevoelige gegevens per vergissing waren gepubliceerd in financiële documenten, waarbij ongeveer 1.600 mensen werden getroffen, waaronder bekende artiesten.
Het incident betrof organisaties die verbonden zijn aan de Community Chest of Korea, de grootste door de overheid goedgekeurde welzijnsorganisatie van het land. Volgens berichten werden interne schikkingsdocumenten geüpload naar de website van de organisatie zonder dat persoonlijke gegevens van donateurs die grote bijdragen hadden gedaan correct werden verwijderd.
De blootgestelde dossiers bevatten gevoelige informatie zoals namen en Zuid-Koreaanse inwonersregistratienummers. In Zuid-Korea functioneren inwonersregistratienummers als een nationaal identificatienummer en worden ze als zeer gevoelig beschouwd omdat ze kunnen worden gebruikt voor identiteitsverificatie in veel financiële en administratieve systemen.
De gegevens werden opgenomen in financiële materialen die online werden gepubliceerd als onderdeel van de routinematige openbaarmaking van donatiegegevens. Goede doelen in het land publiceren doorgaans jaarlijkse afwikkelingsrapporten met bijdragen en fondsenwervingsresultaten. In dit geval bevatte de versie die op de website werd geplaatst naar verluidt ongecensureerde persoonlijke informatie die vóór publicatie verwijderd had moeten worden.
De gelekte dataset bevatte naar verluidt ongeveer 600 grote donateurs die elk meer dan 20 miljoen won hadden bijgedragen, of ongeveer $13.500. Veel van die donateurs zijn publieke figuren, waaronder politici, bedrijfsleiders en artiesten. Volgens rapporten bedroeg het totale aantal personen van wie de gegevens in gerelateerde documenten werden blootgesteld, ongeveer 1.600 bereikte.
De organisatie zei dat zij op de hoogte was geworden van het probleem nadat de documenten online waren geplaatst en een responsteam vormde om het lek te onderzoeken en aan te pakken. Volgens verklaringen die in lokale verslagen worden aangehaald, begon de organisatie te onderzoeken hoe de bestanden waren geüpload en begon ze getroffen donoren op de hoogte te stellen.
Volgens de Zuid-Koreaanse Wet op de Bescherming van persoonsgegevens moeten organisaties die een lek van persoonsgegevens detecteren, het incident binnen 72 uur melden bij de autoriteiten. De organisatie zei dat zij van plan was de toezichthouders op de hoogte te stellen en individueel contact op te nemen met getroffen personen als onderdeel van het responsproces.
De blootstelling heeft zorgen gewekt over de omgang met gevoelige donorinformatie door non-profitorganisaties. Donateurs die grote bedragen aan goede doelen bijdragen, verwachten vaak dat hun persoonlijke gegevens beschermd zijn, vooral wanneer de informatie identificatienummers bevat die gebruikt kunnen worden in administratieve of financiële systemen.
Van de autoriteiten wordt verwacht dat zij het incident zullen beoordelen als onderdeel van bredere controle op de beschermingspraktijken van persoonsgegevens. Het onderzoek zal zich richten op hoe de documenten met de niet-gecensureerde informatie zijn opgesteld en geüpload, en of de bestaande procedures voor het publiceren van financiële openbaarmakingen zijn gevolgd.
De stichting zei dat zij haar interne evaluatie voortzet en stappen onderneemt om soortgelijke incidenten in de toekomst te voorkomen. De organisatie zei ook samen te werken met de autoriteiten en updates te zullen verstrekken aan degenen die door het lek zijn getroffen.