【编者按】在数字时代浪潮中,个人隐私安全正面临前所未有的挑战。近日韩国爆出的三起大规模数据泄露事件,犹如一记警钟敲响——黑客仅凭SQL注入这一经典攻击手段,就轻易撬开了知名企业的数据库大门。从在线教育平台到建筑服务商,再到高尔夫预约系统,无一幸免于难。更令人心惊的是,某些企业竟纵容漏洞存在长达三年,数十万用户的身份证号、手机、密码等敏感信息在暗网裸奔。当我们在互联网上留下每个数字足迹时,是否曾想过它们可能成为黑产交易的筹码?本次监管重拳出击,不仅揭露了企业安全防线的千疮百孔,更警示我们:数据安全绝不能止于应付检查,必须筑起动态防护的长城。
个人情报保护委员会对三家因SQL注入攻击导致会员个人信息泄露的企业——Ezen、The Zone Housing和Leisure Plus——合计处以1.776亿韩元罚款及540万韩元附加处罚。
该委员会于21日宣布,前日召开全体会议后决议公开此次处理结果。
SQL注入攻击是指黑客在网站搜索框、登录界面、论坛等输入窗口植入"SQL代码"以执行特定指令的技术手段。通过此方式,攻击者可绕过登录验证窃取核心数据。
在线教育内容服务商Ezen在2021年8月至2024年8月持续三年间遭受主页SQL注入攻击,导致69,930名会员的姓名、电话号码、邮箱等信息在Telegram平台遭泄露。其中超过半数(35,454人,占比50.7%)未加密的居民身份证号同步曝光。
调查显示Ezen长期忽视SQL注入漏洞排查,既未部署有效的入侵检测系统,也未采取敏感信息泄露阻断措施。同时存在身份证号加密强度不足、数据泄露后未及时通报等问题。最终被处以6060万韩元罚款及540万韩元附加处罚。
建筑专业公司The Zone Housing在2023年12月遭黑客SQL注入攻击,33,879名会员的账号、密码、姓名与手机号等数据在Telegram流传。
该公司被证实未运行SQL注入预警系统,漏洞防护形同虚设。会员密码加密存重大缺陷,数据库访问日志管理混乱。最终被重罚5580万韩元。
高尔夫球场预约平台Leisure Plus在2024年9-10月连续遭遇两轮SQL注入攻击,16万807名客户姓名、手机号及密码全部泄露。监管机构指出该企业既疏于漏洞管理,又未能提前识别数据窃取行为,会员密码保护措施严重缺失,最终判罚6120万韩元。
委员会特别强调:"SQL注入直接攻击海量信息存储的数据库,极易引发大规模隐私泄露。我们将基于本次调查编制企业防护指南,全力筑牢数据安全防线。"
