2025年11月酷澎(Coupang)爆發3,370萬筆個資外洩事件,震驚全球電商產業。本文深入技術剖析,揭露事件核心源於「密鑰管理缺陷」與「內部威脅」。因離職員工仍持有未失效的內部簽章密鑰,導致大規模個資外流。
此案例凸顯了企業在密鑰輪替(Key Rotation)與零信任架構(Zero Trust)上的漏洞。面對日益嚴峻的資安挑戰,電商平台應強化自動化密鑰治理與行為分析監控,將資安防禦從外部防護轉向內部帳號管理與異常偵測,避免陷入跨國法律訴訟與信任危機,這已成為數位商務安全升級的關鍵分水嶺。
2025 年 11 月,南韓電商龍頭酷澎(Coupang)爆發大規模資安事件,約 3,370 萬筆用戶個資外洩,規模接近南韓總人口的一半。這起事件迅速引發社會與產業震動,並成為全球電商平台安全模式的重要案例。外洩資料包含姓名、電話、電子郵件、收件地址與部分訂單紀錄,雖然金融資訊與登入密碼未遭竊,但大量個資流出仍可能造成釣魚郵件、詐騙電話與垃圾訊息。韓媒指出,事件疑與一名前中國籍員工有關,該員工離職後仍持有內部簽章密鑰,未被停用,成為攻擊入口。這顯示企業在密鑰輪替與帳號停用上存在明顯缺陷。
從技術角度來看,密鑰管理失效是事件的核心問題。缺乏自動化輪替與撤銷機制,使得長期存取權限成為風險來源。這並非外部駭客滲透,而是源自內部帳號持續存取,凸顯內部威脅的真實性。雖然金融交易資料未受影響,但個資外洩足以支撐大規模社交工程攻擊,讓攻擊者能以假冒客服或釣魚郵件的方式進一步擴散。更值得注意的是,企業缺乏即時偵測異常存取的能力,若能導入行為分析與流量監控,或許能在早期就攔截異常行為。
事件的影響不僅限於企業本身。酷澎 CEO 朴大俊在事件後辭職,美國母公司任命首席法務長接任,顯示事件已演變為跨國層面的 危機。南韓警方展開調查,國會召開聽證會,美國律師事務所也準備提起集體訴訟,法律與監管壓力隨之而來。電商平台因涉及大量個資而成為高價值攻擊目標,未來可能出現更嚴格的規範,例如強制密鑰輪替、帳號即時停用與第三方安全稽核。
進一步來看,酷澎事件凸顯了幾個核心面向。零信任架構逐漸成為必要流程,內部帳號不應被預設為可信,持續驗證與監控是核心。密鑰治理需要自動化輪替與撤銷設計,以降低長期存取風險。人員帳號管理則要求離職員工帳號停用與安全審查納入標準操作。異常偵測能力透過行為分析與流量監控,能在早期發現非典型存取行為,避免資料外洩擴大。
綜合而言,酷澎資安事件不只是單一企業的危機,而是電商產業安全模式的分水嶺。它清楚顯示外部防禦不足以應對現代威脅,內部帳號與密鑰管理才是決定性環節。在數位商務持續擴張的環境下,忽視內部威脅的企業極易成為下一個目標。未來的電商平台若要維持信任與競爭力,零信任、密鑰治理與異常偵測需要被視為核心基礎設施,而非附屬功能,這代表資安策略的全面升級,並將直接影響產業能否持續運作。
