Güney Kore’nin veri koruma düzenleyicisi, Seul merkezli bir kredi kartı sağlayıcısı Lotte Card’a, milyonlarca müşteriye ait kişisel bilgilerin ortaya çıkması sonucu bir siber saldırının ardından 9,6 milyar won (yaklaşık 6,5 milyon dolar) para cezası verdi.
Ceza, veri koruma yasalarını uygulamaktan sorumlu ülkenin ulusal gizlilik düzenleyicisi olan Kişisel Bilgi Koruma Komisyonu tarafından verildi. Komisyon, Lotte Card’ın hassas müşteri verilerini yeterince koruyamadığı için Kişisel Bilgi Koruma Yasası’nı ihlal ettiğine karar verdi.
Soruşturma, hackerların şirketin çevrimiçi ödeme sistemini ihlal ettiğini ve yaklaşık 2,97 milyon kullanıcıya ait kişisel kredi bilgilerini içeren kayıt dosyalarına eriştiğini ortaya koydu. Ortaya çıkan kayıtlar arasında yaklaşık 450.000 müşterinin kayıt numaraları da vardı. Bu numaralar Güney Kore’de temel bir ulusal kimlik sistemi olarak hizmet verir ve son derece hassas kişisel veriler olarak kabul edilir.
Düzenleyiciler, ihlalın, kişisel bilgilerin sistem kayıtlarında yanlış saklanmasından kaynaklandığını belirtti. Komisyona göre, Lotte Card yerleşik kayıt numaraları da dahil olmak üzere çeşitli kişisel verileri çevrimiçi ödeme süreçlerine bağlı kayıt dosyalarında düz metin olarak kaydetti. Araştırmacılar ayrıca bu kayıtlar için şifreleme korumalarının yetersiz olduğunu tespit etti.
Güney Kore yasaları, ikamet kayıt numaralarının kullanımı ve saklanmasını kısıtlar. Kuruluşlar, bu tür tanımlayıcıları yalnızca sınırlı durumlarda işlemeye izin verilir ve bunları tutarken sıkı önlemler almak zorundadır. Komisyon, Lotte Card’ın tanımlayıcıları yasanın izin verdiği kapsamın ötesinde işlediğine karar verdi.
Mali cezaya ek olarak, düzenleyici Lotte Card’e veri koruma uygulamalarını güçlendirmesini emretti. Şirket, kişisel bilgilerin sistemlerinde nasıl işlendiğini gözden geçirmeli ve hassas veri işlemeyle ilgili güvenlik kontrollerini iyileştirmelidir. Yetkililer ayrıca şirkete, etkilenen müşterileri bilgilendirmek için olayla ilgili detayları web sitesinde açıklamasını talimat verdi.
Soruşturma, Güney Kore Mali Denetim Servisi’nin geçen yıl Eylül ayında ihlali Kişisel Bilgi Koruma Komisyonu’na bildirmesinin ardından başladı. Yetkililer daha sonra saldırının nasıl gerçekleştiğini ve şirketin gizlilik düzenlemelerine uyup uymadığını belirlemek için ortak bir kamu ve özel sektör soruşturması yürüttü.
Yetkililer, davanın finans sektöründe daha geniş denetimlere yol açacağını söyledi. Komisyon, diğer finansal kurumların sakin kayıt numaralarını net bir yasal gerekçe veya yeterli koruma olmadan işleyip işlemediğini incelemeyi planlıyor.
Düzenleyici, hassas kişisel bilgileri ele alan şirketlerin veri koruma uygulamalarını düzenli olarak gözden geçirmeleri ve yetkisiz erişim ile verilere maruz kalmayı önlemek için güçlü önlemler uygulamaları gerektiğini belirtti.