555萬用戶數據泄露，迪奧蒂芙尼遭韓國重罰

韓國個人信息保護委員會于12日宣布，已決定對違反《個人信息保護法》的路易威登（Louis Vuitton）、克里斯汀·迪奧（Dior）及蒂芙尼（Tiffany & Co.）韓國公司處以總計360.33億韓元（約合人民幣1.9億元）的罰款，并附加1080萬韓元的行政處罰。

在11日召開的第三次全體會議上，該委員會不僅做出了上述巨額罰款決定，還責令這三家企業必須在其官方網站上公開披露受處罰的事實。

此次數據泄露事件波及范圍廣泛，涉及路易威登約360萬條、迪奧約195萬條以及蒂芙尼約4600條個人信息，總計約555萬人次。

調查顯示，三家公司均因在使用基于“軟件即服務”（SaaS）模式的客戶管理系統時，遭遇賬戶劫持或語音釣魚攻擊，從而導致大規模個人信息外泄。

路易威登（Louis Vuitton）的泄露源于員工設備感染惡意軟件，導致黑客竊取了系統的賬戶憑證。這起發生于去年6月的事件導致約360萬名客戶的敏感數據流向不明，泄露內容涵蓋姓名、性別、國籍、電話號碼、電子郵箱及出生日期等。

調查發現，路易威登在信息安全管理上存在嚴重疏漏：既未對外部訪問IP地址進行限制，也未實施一次性密碼（OTP）等雙重認證措施。鑒于此，韓國個人信息保護委員會決定對其處以213.85億韓元的巨額罰款。

克里斯汀·迪奧（Dior）的情況同樣嚴峻。其客戶服務部門員工遭遇語音釣魚詐騙，將軟件訪問權限拱手讓給黑客，導致約195萬人的信息泄露。

值得注意的是，迪奧未履行每月至少檢查一次訪問日志（含個人信息下載記錄）的合規義務，導致數據泄露事件在發生三個多月后才被察覺。

此外，該公司在去年5月發現泄露后，無正當理由延遲通知受影響用戶，嚴重超出了法定的72小時通報期限。為此，委員會對迪奧處以122.36億韓元罰款及360萬韓元行政處罰。

蒂芙尼（Tiffany & Co.）也遭遇了類似的語音釣魚攻擊，導致約4600人的信息外泄。

雖然蒂芙尼于去年5月9日發現了泄露事實，但直至5月22日才完成相關報告及用戶通知，同樣違反了法定時限要求。委員會最終決定對蒂芙尼處以24.12億韓元罰款及720萬韓元行政處罰。

針對這一系列事件，韓國個人信息保護委員會相關負責人強調：“企業即使采用SaaS模式運營業務，仍需對個人信息安全管理承擔主體責任。必須徹底落實IP地址限制、安全認證升級以及訪問日志監控等基礎防護措施，以防患于未然。”