O regulador de proteção de dados da Coreia do Sul multou a Lotte Card, uma provedora de cartão de crédito sediada em Seul, em 9,6 bilhões de won, cerca de 6,5 milhões de dólares, após um ataque cibernético expor informações pessoais pertencentes a milhões de clientes.
A penalidade foi aplicada pela Comissão de Proteção de Informações Pessoais, o órgão regulador nacional de privacidade do país responsável por aplicar as leis de proteção de dados. A comissão concluiu que a Lotte Card violou a Lei de Proteção de Informações Pessoais ao não proteger adequadamente dados sensíveis de clientes.
A investigação constatou que hackers invadiram o sistema de pagamentos online da empresa e acessaram arquivos de registro contendo informações pessoais de crédito pertencentes a cerca de 2,97 milhões de usuários. Entre os registros expostos estavam números de registro de residentes de cerca de 450.000 clientes. Esses números servem como um sistema nacional central de identificação na Coreia do Sul e são considerados dados pessoais altamente sensíveis.
Os reguladores disseram que a violação ocorreu porque informações pessoais foram armazenadas incorretamente nos registros do sistema. De acordo com a comissão, a Lotte Card registrou vários tipos de dados pessoais, incluindo números de registro de residentes, em texto simples dentro de arquivos de log conectados a processos de pagamento online. Os investigadores também determinaram que as proteções de criptografia para esses logs eram insuficientes.
A lei sul-coreana restringe o uso e o armazenamento dos números de registro de residentes. As organizações só podem processar esses identificadores em circunstâncias limitadas e devem aplicar salvaguardas rigorosas ao manuseá-los. A comissão concluiu que a Lotte Card processou os identificadores além do escopo permitido pela lei.
Além da penalidade financeira, o regulador ordenou que a Lotte Card fortaleça suas práticas de proteção de dados. A empresa deve revisar como as informações pessoais são tratadas em seus sistemas e aprimorar os controles de segurança relacionados ao processamento de dados sensíveis. As autoridades também instruíram a empresa a divulgar detalhes sobre o incidente em seu site para informar os clientes afetados.
A investigação começou após o Serviço de Supervisão Financeira da Coreia do Sul reportar a violação à Comissão de Proteção de Informações Pessoais em setembro do ano anterior. As autoridades então realizaram uma investigação conjunta entre os setores público e privado para determinar como ocorreu o ataque e se a empresa havia cumprido as normas de privacidade.
Autoridades disseram que o caso levará a inspeções mais amplas no setor financeiro. A comissão planeja examinar se outras instituições financeiras estão processando números de registro de residente sem uma base legal clara ou salvaguardas suficientes.
O regulador afirmou que as empresas que lidam com informações pessoais sensíveis devem revisar regularmente suas práticas de proteção de dados e aplicar fortes salvaguardas para prevenir acessos não autorizados e exposição de dados.