關鍵詞

酷澎(Coupang)

一、60 秒看完全部要點

• 3,370 萬人數據泄露 —— 約占韓國總人口 64%（韓國 5,100 萬人）

• 韓國 PIPC 開出6,247 億韓元罰單，約合27.7 億元人民幣

• 始作俑者：一名已離職 1 年多的前工程師，本人是外國人

• 攻擊路徑：在職時偷走加密簽名密鑰，離職后憑密鑰持續訪問長達 5 個月

• 數據存儲在韓國境外（海外云平臺數據中心）—— 物理隔離沒救它

• ? 韓國法律要求數據泄露24 小時內通報—— 酷澎48 小時才報，被加重處罰

• 這是韓國史上最大的數據泄露罰款，是去年 SK 電信罰單（1,348 億）的4 倍多

二、事件還原：一個前員工，5 個月，搬空半個韓國

2.1 受害方：酷澎是誰

Coupang（酷澎）是韓國第一大電商平臺，類似"韓國的京東"。Rocket Jikgu（????）跨境購和 Rocket Delivery 當日達讓它成為韓國人日常生活的"水電煤"。

用戶在 Coupang 上買什么、寄到哪、付了多少、什么時候買的——這就是韓國人的"消費 DNA"。

而這一整套消費 DNA，現在全部落到了攻擊者手里。

2.2 時間線

時間

事件

2025 年 6 月之前

這名外籍工程師在酷澎任職期間，竊取了一份加密簽名密鑰（用于訪問客戶數據庫）

2025-06 ~ 2025-11

工程師已離職 1 年多，但用偷來的密鑰持續 5 個月從韓國境外的服務器下載數據

2025-11-18

酷澎發現可疑活動

2025-11-20 左右

酷澎48 小時后才通報監管機構（韓國法定為 24 小時）

2025-11 ~ 2026-06

調查完成，酷澎起初報告"4,500 人受影響"，深入調查后修正為3,370 萬人

2026-06

PIPC 公布調查結論，開出 6,247 億韓元罰單

2.3 罰單的"雙層結構"

PIPC 的罰單不是一筆糊涂賬，拆得清清楚楚：

罰單項目

金額（韓元）

理由

數據保護不善4,236 億

① 加密簽名密鑰管理不善 ② 離職員工訪問控制松懈

違法收集用戶活動2,011 億

在用戶訪問外部網站時偷偷收集 1,117 萬用戶的瀏覽數據（疑似廣告追蹤）

合計6,247 億

（約 27.7 億元人民幣）

這意味著 27.7 億罰單里有近三分之一不是因為"前員工偷數據"，而是因為"酷澎自己就在違法收集用戶上網行為"。一案兩罰。

三、整起事件最值得安全圈深挖的 5 個技術細節

3.1 為什么"離職一年多"還能訪問？

這是整起事件最反常識的部分。

正常情況下，前員工離職時應該：

• ? 收回所有內部賬號

• ? 吊銷所有 API key

• ? 刪除所有訪問權限

• ? 物理收回門禁卡、筆記本

• ?輪換（rotate）所有它曾經接觸過的密鑰

但酷澎漏掉了最關鍵的一項 —— 加密簽名密鑰。

這名工程師在職時就把一份能訪問數據庫的簽名密鑰"復制"了出去（具體怎么復制是技術調查的重點：代碼倉庫？密鑰管理服務？環境變量？dump 內存？），離職后用這份獨立于賬號的密鑰直接訪問。你吊銷他的賬號也沒用，因為賬號從來不是他訪問的"鑰匙"。

這正是云原生時代最難根治的安全問題：

• 傳統世界：身份 = 人，人走了身份就失效

• 云世界：身份 = 密鑰/Token/SPN，密鑰不被輪換，身份就不死

為什么簽名密鑰有這么大的威力？

數據庫訪問通常有兩道鎖：

1. 身份認證（你是誰？賬號密碼 / SSO / OAuth）

2. 訪問授權（你有權干什么？RBAC / ACL）

但有些數據庫服務支持"服務賬戶"或"API 簽名"，用一個長期有效的簽名密鑰做"憑證"。這個憑證的可怕之處：

特征

傳統賬號

簽名密鑰

跟人綁定

? 是

? 否

離職自動失效

? 通常是

?不會

需要 MFA

? 一般要

? 經常免

有登錄日志

? 詳細

?? 通常很弱

可吊銷

? 一鍵

?必須輪換（rotate）

可"復制"

? 難（密碼不能"復制給同事"）

?就是一段字符串/文件，復制無門檻

一旦簽名密鑰被偷，唯一止損手段是"輪換"——生成新密鑰、廢棄舊密鑰。但酷澎長達 1 年多都沒輪換過。

新聞里有一句非常關鍵的話：

"這些客戶數據存儲在韓國之外的服務器中（應該是某家大型云計算平臺在韓國之外的數據中心）"

這暗示：

1. 酷澎使用的是公有云

2. 數據沒放在韓國本土

3. 跨境取證 / 監管 / 司法協助會非常困難

這帶來三個層面的安全治理挑戰：

層面

難題

取證

數據在境外，韓國 PIPC 要調取云端日志需要走國際司法協助流程，耗時長

威懾

攻擊者知道數據在境外、本人是外國人，司法追訴成本高

合規

韓國《個人信息保護法》對"出境數據"有更嚴格要求，跨境傳輸本身可能就是二次違規

物理隔離、數據主權、地域化部署 —— 這些"安全治理"概念不是空話。數據放在哪，決定了你能用什么工具保護它。

韓國《個人信息保護法》規定：發現數據泄露必須在 24 小時內通報 PIPC。

酷澎做了什么？

• 11 月 18 日發現可疑活動

• 11 月 20 日左右才通報

• 延遲了24 小時左右

PIPC 的態度非常明確：這不是"小違規"，這是"加重處罰事由"。

這條法規的設計哲學值得借鑒：報告義務的硬約束，是為了倒逼企業"早發現、早處置"，同時讓監管層能快速介入止損。延遲報告意味著更多用戶持續受害、企業可能趁機銷毀證據、監管層錯過黃金處置窗口。

國內對應的法規是《網絡安全法》第 42 條、《數據安全法》第 29 條、《個人信息保護法》第 57 條 ——同樣要求"立即采取補救措施 + 通知個人和監管部門"。對國內企業來說，這不是"建議"，是底線合規。

3.5 "4,500 → 3,370 萬"的烏龍

酷澎最初的內部調查結論是"4,500 人受影響"。深入調查后變成 3,370 萬。

差了 7,488 倍。

這種"漏報"在數據泄露案里極其常見。原因通常是：

• 調查只看自家系統的訪問日志

• 沒看密鑰的使用范圍（一把密鑰能訪問多少數據）

• 沒看數據外泄的痕跡（流量異常、DNS 異常、云存儲桶被異常讀寫）

• 當事部門主觀上希望"大事化小"

這給所有安全團隊一個深刻教訓："第一次披露的數字"幾乎一定是錯的。永遠要為"嚴重低估"做預案，因為： 媒體和監管會 持續追問 用戶 遲早會發現"我也受害了" 一旦最終數字大得多， 信任損失會指數級放大

四、對企業的 7 條鐵律

4.1 密鑰管理：離職清單必須有"rotate"項

傳統離職清單

升級版清單（云時代）

收回電腦

收回電腦

撤銷 VPN

撤銷 VPN

撤銷 SSO

撤銷 SSO

刪除 OA 賬號

刪除 OA 賬號

物理門禁卡

物理門禁卡

輪換（rotate）所有其接觸過的 API key輪換所有其寫過的對稱加密密鑰輪換所有其接觸過的非對稱簽名私鑰撤銷所有其創建的 OAuth 客戶端憑證重審其經手的所有 IAM 角色權限重審其代碼提交中的密鑰硬編碼

離職不是"刪除"，是"輪換"。 因為"刪除賬號"對付的是"身份"，但密鑰/Token 是獨立于身份的"憑證"。

• ? 使用HSM（硬件安全模塊）或云 KMS（Key Management Service），讓私鑰永遠不離開安全邊界

• ? 任何使用密鑰的請求都必須經過審批 + 審計

• ? 設置自動輪換策略（90 天 / 30 天強制輪換）

• ?綁定使用場景：一把密鑰只能訪問一類資源（最小權限）

• ? 絕對不要把私鑰以明文形式存到代碼倉庫、CI 配置、容器鏡像、共享文檔

時間

必做

T-7 天

通知 IT / 安全 / 各業務方

T-1 天

準備交接清單 + 審計其最近 90 天操作

**T+0（離職當日）

撤銷所有賬號、VPN、門禁

T+0 之后 24 小時內輪換所有其接觸過的密鑰和憑證T+0 之后 7 天內

審計其離職后是否有"幽靈訪問"

T+30 天

復盤：是否有任何"漏網之魚"

4.4 監控告警：識別"幽靈訪問"

哪怕密鑰沒被輪換、賬號沒被撤銷，異常訪問行為也應該被監控系統捕獲：

• 一個長期不活躍的密鑰突然 24×7 高頻訪問

• 來自異常地理位置 / IP 段的訪問（特別是數據本應僅限韓國本土）

• 訪問時間模式異常（凌晨 3 點大量下載）

• 訪問的數據量異常（單日下載超過 30 天平均的 10 倍）

• 數據庫出口流量突增（特別是跨境方向）

"前員工用舊密鑰偷數據"這類攻擊，從異常行為層面看幾乎一定是"顯眼的"——只是沒人看告警。

場景

治理難度

監管可及性

數據存韓國本土、韓國云

? 低

? 強

數據存韓國本土、海外云

?? 中

?? 中

數據存海外、海外云

?高

?弱

跨境數據 = 跨境治理 + 跨境司法 + 跨境取證。每多跨一個國界，安全和合規成本翻倍。

把"24 小時報告"從"應急響應手冊里的一行字"變成自動化工單：

• 觸發條件：任何疑似 PII 泄露的告警（數據庫外泄、S3 桶暴露、第三方通知等）

• ? SLA：T+0 啟動工單，T+1 小時內安全團隊判定，T+4 小時內法務/合規介入，T+24 小時內向監管報告

• 模板：預設好"個人通知模板"、"監管報告模板"、"媒體聲明模板"

• 角色：RACI 矩陣（誰負責、誰批準、誰咨詢、誰知會）

酷澎"4,500 → 3,370 萬"的烏龍，讓所有酷澎用戶對它的信任降到冰點。

教訓：第一時間、主動告知最壞情況，比"先查清再說"在長期看損失更小。 ? 主動告知 = "我們發現可能影響 5,000 萬人，正在調查中，請先改密碼" ? 被動披露 = "起初我們以為只有 4,500 人，調查后才發現實際是 3,370 萬"

五、幾個讓人睡不著覺的反思

5.1 "加密簽名密鑰"是云時代最危險的資產

我們一直在說"零信任"、"最小權限"、"MFA"，但幾乎所有安全體系都默認"密鑰 = 受信任"。一旦密鑰失守：

• 不需要密碼

• 不需要 MFA

• 不需要 VPN

• 不在乎地理位置

• 不在乎工作時間

• 沒有"離職失效"這個概念

在云原生架構里，一份長期有效的簽名密鑰 = 一把可以打開所有門的萬能鑰匙。比"管理員賬號"更危險，因為管理員賬號至少有日志、有 MFA、有 IP 限制。

"數據存韓國境外"聽起來像"多一道物理屏障"，實際上是多一道治理盲區：

• 韓國 PIPC 想調取日志 → 走國際司法協助（數月起步）

• 海外云服務商 → 優先響應本國政府請求（不一定配合）

• 攻擊者在哪 → 難以追蹤（特別是跨境）

數據放在哪，是安全設計的第一性原則，不是運維細節。

數據點

數值

酷澎 2024 年營收

約 240 億美元

27.7 億人民幣

約 3.83 億美元

罰款 / 年營收

約 1.6%

1.6% 的年營收罰款對企業是痛但不是死。這就是為什么韓國 PIPC 的判罰邏輯要從"行政處罰"升級到"刑事追訴"：只有當罰金和牢獄并行，才能真正讓企業把安全當回事。

維度

韓國酷澎

中國同行

罰款力度

27.7 億元

《個保法》上限 5,000 萬 / 上一年度營業額 5%

報告義務

24 小時

"立即"（《個保法》第 57 條）

跨境存儲

海外云

需通過 PIPL 安全評估 / 標準合同 / 認證

域外適用

? 主要管境內

? PIPL 第 3 條有域外適用（境外組織侵害境內自然人權益同樣適用）

國內安全團隊不應該覺得"國內罰得輕就沒事"。 PIPL 的 5% 營收上限，比韓國的 1.6% 高得多 —— 一旦頂格處罰，破產清算級別的痛 域外適用 意味著國內企業海外業務、海外服務器出問題， 中國監管也能管 集團訴訟 / 公益訴訟 正在興起 —— 個體損失小但 集合起來金額嚇人

六、結語

5 個月。3,370 萬人。1 把沒輪換的密鑰。1 個沒撤銷的訪問。27.7 億元。

這個故事沒有 0day，沒有 APT，沒有黑產炫技。

它有的只是最基礎的安全治理失守：

• 密鑰沒輪換

• 離職沒斷權

• 跨境沒治理

• 報告沒及時

• 調查沒做透

最深的洞不是技術漏洞，是流程漏洞。最貴的洞不是 0day，是"一行沒寫的離職清單"。

記住：離職員工的訪問權，不在他離職那天結束在他接觸過的每一個密鑰輪換那天，才真正結束

您的企業今天就該做的 3 件事：

1. 審計過去 12 個月所有離職員工—— 有沒有"密鑰沒輪換"的遺漏

2. 檢查所有簽名密鑰的最近一次輪換時間—— 超過 90 天的立刻排期

3. 購買一份"數據泄露保險"—— 27.7 億罰單 + 用戶集體訴訟 + 信任修復成本，沒有幾家企業能完全自擔

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！