Informações pessoais pertencentes a doadores de alto valor de grandes instituições de caridade sul-coreanas foram expostas online após dados sensíveis serem publicados erroneamente em documentos financeiros, afetando cerca de 1.600 pessoas, incluindo artistas conhecidos.
O incidente envolveu organizações ligadas ao Community Chest of Korea, a maior instituição de caridade de assistência social sancionada pelo governo do país. Segundo relatos, documentos internos de acordo foram enviados ao site da organização sem remover adequadamente os dados pessoais de doadores que haviam feito grandes contribuições.
Os registros expostos incluíam informações sensíveis, como nomes e números de registro de residentes sul-coreanos. Na Coreia do Sul, os números de registro de residente funcionam como número nacional de identificação e são considerados altamente sensíveis porque podem ser usados para verificação de identidade em muitos sistemas financeiros e administrativos.
Os dados foram incluídos em materiais financeiros publicados online como parte da divulgação rotineira dos registros de doações. As instituições de caridade do país normalmente divulgam relatórios anuais detalhando contribuições e resultados de arrecadação. Neste caso, a versão publicada no site teria continha informações pessoais não editadas que deveriam ter sido removidas antes da publicação.
O conjunto de dados vazado teria incluído cerca de 600 grandes doadores, que cada um contribuiu com mais de 20 milhões de won, ou aproximadamente US$ 13.500. Muitos desses doadores são figuras públicas, incluindo políticos, líderes empresariais e artistas. Relatórios indicaram que o número total de indivíduos cujos dados foram expostos em documentos relacionados chegou a aproximadamente 1.600.
A instituição afirmou que tomou conhecimento do problema após a publicação dos documentos online e formou uma equipe de resposta para investigar e lidar com a violação. De acordo com declarações citadas em reportagens locais, a organização começou a revisar como os arquivos eram enviados e a notificar os doadores afetados.
De acordo com a Lei de Proteção de Informações Pessoais da Coreia do Sul, organizações que detectam vazamento de dados pessoais devem relatar o incidente às autoridades em até 72 horas. A instituição afirmou que planeja notificar os reguladores e contatar individualmente os indivíduos afetados como parte de seu processo de resposta.
A exposição gerou preocupações sobre o tratamento de informações sensíveis de doadores por organizações sem fins lucrativos. Doadores que contribuem com grandes quantias para instituições de caridade frequentemente esperam que seus dados pessoais sejam protegidos, especialmente quando as informações incluem números de identificação que podem ser usados em sistemas administrativos ou financeiros.
Espera-se que as autoridades revisem o incidente como parte de uma supervisão mais ampla das práticas de proteção de dados pessoais. A investigação se concentrará em como os documentos contendo as informações não editadas foram preparados e enviados, e se os procedimentos existentes para publicação das divulgações financeiras foram seguidos.
A instituição afirmou que continua sua revisão interna enquanto toma medidas para prevenir incidentes semelhantes no futuro. A organização também afirmou que irá cooperar com as autoridades e fornecer atualizações aos afetados pelo vazamento.