A helyzet komolysága ekkor vált nyilvánvalóvá
Kezdetben a Coupang csak egy egyszerű adatexpozícióról beszélt, amely hozzávetőleg 4500 ügyfelet érintett. Néhány nappal később azonban a cég kénytelen volt módosítani a bejelentését: az adatszivárgás akár 34 millió felhasználót – vagyis a munkaképes lakosság több mint 90%-át – érintette. Ez arra utal, hogy a kezdeti vizsgálatok hiányosságai miatt a vállalat sem mérte fel az adatszivárgás súlyát. A helyi sajtóban markánsan jelent meg: „Az egész nemzet áldozattá vált.”
Kifinomult támadás belső kulcs segítségével
A vizsgálatok szerint a feltételezett elkövető korábban a Coupang szoftverfejlesztője volt, aki azonosítási rendszereken dolgozott. Fontos körülmény, hogy a támadó kínai állampolgár, és a gyanú szerint már visszatért Kínába; jelenleg bujkál, kilétét nem hozták nyilvánosságra. Az elkövető, miután egy éve kilépett a cégtől, titokban megtartotta a vállalat egyik belső hitelesítési kulcsát, amellyel korlátlan hozzáférést szerzett a felhasználók személyes adatbázisához. Az adatokhoz június 24-től, külföldi szervereken keresztül fért hozzá, és belső alkalmazottnak álcázta magát.
Hibák a vállalatnál, rendszerszintű gondok
Az ügy csak öt hónap elteltével, egy ügyfél gyanús aktivitásának jelentése után került napvilágra. A biztonsági szakemberek arra figyelmeztetnek, hogy a hasonló szivárgások gyakorlatilag elkerülhetetlenek, amíg a vállalati kultúra nem ösztönzi a biztonsági protokollok folyamatos betartását – például az elavult vagy feleslegessé vált hozzáférési jogok azonnali visszavonását. Mindez arra utal, hogy a Coupangnál nem kezelték elég komolyan a hozzáférések kezelését, így a hacker akadály nélkül ki tudta vinni az adatokat.
Adatkezelési dilemmák: lehet-e tökéletes a védelem?
Az eset rávilágít arra, hogy egy ekkora cég nem tudja elkerülni a felhasználói adatok rögzítését – nevük, címük, elérhetőségeik, jelszavaik nélkül nem működne a szolgáltatás. Szakértők szerint az érzékeny kódokat (pl. lakásbelépőkód) csak ideiglenes („live”) adatbázisba lehetne menteni, és azonnal törölni a kézbesítés után. Ugyanakkor, ha egy rosszindulatú alkalmazott teljes hozzáféréssel rendelkezik, ez sem jelent védelmet. A legbiztonságosabbnak az tűnhet, ha az adatokat sosem tárolják hosszú távon, hanem mindig újra bekérik, így csökkentve a kockázatot.
A nagy tanulság: mindenki kiszolgáltatott
A Coupang maga jelentette be a szivárgást, így próbált követendő példát mutatni. Ugyanakkor a bírságok szigorítása és a pánikkeltés helyett a szakemberek inkább a biztonsági kultúra fejlesztését javasolják. Fennáll a veszélye, hogy a szigorúbb büntetések inkább több eltussoláshoz, mint valódi megoldásokhoz vezetnek. Emberi tényező, üzleti érdek és technológiai fejlődés kifinomult kombinációjára van szükség ahhoz, hogy a hasonló eseteket megelőzzük – ám valószínű, hogy ilyen támadásokra ezután is számítani kell.
