624,6 milyar won değerinde uyarı mektubu: Coupang'ın kişisel bilgilerin korunmasında büyük bir dalgalanma etkisi yaratması > haberler

Bu olay, yaklaşık 37,5 milyon kişinin büyük miktardaki kişisel bilgilerinin hackleme yoluyla sızdırılmasıyla başladı. Soruşturma sonucunda eski bir Coupang çalışanının, şirket içi kimlik doğrulama imza anahtarını kötüye kullanarak üye bilgilerini çaldığı ortaya çıktı. Bu da şirketin en temel güvenlik sistemi olan erişim kontrolünün ne kadar gevşek olduğunu kanıtlıyor. Bilgisayar korsanları, profilleri yeniden düzenlemek için üyelerin düzenleme sayfaları ve teslimat adresi yönetimi sayfaları arasında serbestçe hareket etti ve hatta şirketleri tehdit etmek için yetişkinlere yönelik ürünlerin satın alma geçmişi ve iç çamaşırı gibi son derece hassas bilgilere bile baktı. Daha da şok edici olan ise Coupang'ın olaydan haberdar olmasına rağmen yasal bildirim süresini aşarak yanıtını geciktirmesi ve hatta soruşturma sırasında delil teşkil edebilecek günlük kayıtlarının manuel olarak silinmesi veya otomatik silme politikasının ihmal edilmesi gibi soruşturmanın önünde sistematik engellerin olduğunun keşfedilmesidir. Güvenliğe yönelik bu tamamen duyarsızlık, sonuçta 37,5 milyon kişiye ulaşan çok sayıda kurbanla sonuçlandı ve şirketin veri yönetimi yetenekleri konusunda ciddi şüphelere yol açtı.

Bu sadece bir hack olayı değil, Coupang'ın yasal dayanağı olmadan kullanıcı verilerini toplamasının daha ciddi bir sorun olduğu belirtiliyor. Coupang, bağlı kuruluş pazarlama programı 'Coupang Partners'ı işletirken, kendisinin dışında üçüncü taraf web sitelerini veya uygulamalarını izinsiz kullanan 11,17 milyon kişinin etkinlik kayıtlarını takip etti ve sakladı. Bu, kullanıcıların nereleri ziyaret ettiği ve hangi uygulamaları kullandığına ilişkin URL bilgileri, erişim IP'si, tarih ve saat vb. bilgileri içeren hassas verilerdir ve kullanıcının ilgi ve eğilimlerinin ötesinde siyasi ve dini eğilimler çıkarımı yapma riski taşır. Ayrıca, 'reklam kaçırma' olarak adlandırılan sahte reklamlar yayınlayan partner firmaları gerektiği gibi yönetip denetlememeleri, hizmet kullanım kayıtlarının kullanıcıların iradesi dışında toplanmasına izin vermeleri, bir platform şirketi olarak sorumluluk ihmallerini açıkça göstermektedir. Sonuç olarak, şirketlerin müşterilere yönelik hizmet sağlayıcılar yerine veriler aracılığıyla kar elde eden gözlemcilere dönüştüğü yönündeki eleştirilerden kaçınmak zor.

İştirakimiz Coupang Fulfillment Service'in (CFS) sapkın davranışının da bu cezanın hesaplanmasında belirleyici etkisi oldu. CFS, Ulusal Polis Teşkilatı'ndan bir dağıtım merkezinde çalışma geçmişi olmayan 71 muhabirin adını yasadışı bir şekilde topladı ve onları bir istihdam kısıtlama listesine kaydettirdi ve yönetti; bu, Kişisel Bilgilerin Korunması Yasası'nın temelini baltalayan bir eylem olarak değerlendirildi. Ayrıca şirketin iş kazası davalarında çalışanların sağlığını yönetmek adına toplanan ağırlık bilgilerini mahkemeye sunarak hassas bilgilerin işlenmesini kısıtlayan düzenlemeleri ihlal ettiği ortaya çıktı. Bu eylemler dizisi yalnızca bir güvenlik olayı değil, aynı zamanda şirket içinde kişisel bilgilerin korunması konusunda etik bir bilincin bulunmadığını da gösteriyor. Kişisel Bilgiler Komisyonu, bu çeşitli ihlalleri derleyerek satışların ölçeğini ve ihlalin ciddiyetini göz önünde bulundurarak şimdiye kadarki en yüksek düzeyde yaptırımlara karar vererek şirketlere veri yönetiminin ciddiyetini bir kez daha hatırlattı.

Coupang, bu karardan duyduğu üzüntüyü dile getirerek, "Küresel standartlara uygun bir ortaklık modeli işletiyoruz ve ikincil hasarı önlemek için elimizden geleni yaptık." Coupang'ın yasal prosedürler aracılığıyla gerçekleri açıklığa kavuşturma yönündeki yanıtı, gelecekte ceza boyutunun uygunluğu konusunda şiddetli bir hukuki mücadelenin habercisidir. Ancak kamuoyu kayıtsız. 37,5 milyon kişinin kişisel bilgilerinin halihazırda sızdırıldığı bir durumda, şirketin mazeretleri güvenin yeniden tesis edilmesine pek yardımcı olmuyor ve iç güvenlik sistemindeki boşlukların kabul edilmesi ve temel çerçevenin yeniden inşa edilmesi yönünde yüksek sesler duyuluyor. Kişisel Bilgi Komisyonu ayrıca, kişisel bilgileri koruma görevlisinin fiili yetkisinin garanti altına alınmasını ve tekrarını önleyecek önlemlerin uygulanmasını sağlamak için sadece para cezası vermenin ötesine geçerek her üç ayda bir denetim yapma tehdidinde bulundu. Bu, Coupang'ın bu olayı güvenlik merkezli kurumsal kültürünü yeniden oluşturmak için bir fırsat olarak kullanamaması durumunda pazara olan güvenin kontrolsüz bir şekilde düşeceği konusunda uyarıyor.