555万用户数据泄露，迪奥蒂芙尼遭韩国重罚

韩国个人信息保护委员会于12日宣布，已决定对违反《个人信息保护法》的路易威登（Louis Vuitton）、克里斯汀·迪奥（Dior）及蒂芙尼（Tiffany & Co.）韩国公司处以总计360.33亿韩元（约合人民币1.9亿元）的罚款，并附加1080万韩元的行政处罚。

在11日召开的第三次全体会议上，该委员会不仅做出了上述巨额罚款决定，还责令这三家企业必须在其官方网站上公开披露受处罚的事实。

此次数据泄露事件波及范围广泛，涉及路易威登约360万条、迪奥约195万条以及蒂芙尼约4600条个人信息，总计约555万人次。

调查显示，三家公司均因在使用基于“软件即服务”（SaaS）模式的客户管理系统时，遭遇账户劫持或语音钓鱼攻击，从而导致大规模个人信息外泄。

路易威登（Louis Vuitton）的泄露源于员工设备感染恶意软件，导致黑客窃取了系统的账户凭证。这起发生于去年6月的事件导致约360万名客户的敏感数据流向不明，泄露内容涵盖姓名、性别、国籍、电话号码、电子邮箱及出生日期等。

调查发现，路易威登在信息安全管理上存在严重疏漏：既未对外部访问IP地址进行限制，也未实施一次性密码（OTP）等双重认证措施。鉴于此，韩国个人信息保护委员会决定对其处以213.85亿韩元的巨额罚款。

克里斯汀·迪奥（Dior）的情况同样严峻。其客户服务部门员工遭遇语音钓鱼诈骗，将软件访问权限拱手让给黑客，导致约195万人的信息泄露。

值得注意的是，迪奥未履行每月至少检查一次访问日志（含个人信息下载记录）的合规义务，导致数据泄露事件在发生三个多月后才被察觉。

此外，该公司在去年5月发现泄露后，无正当理由延迟通知受影响用户，严重超出了法定的72小时通报期限。为此，委员会对迪奥处以122.36亿韩元罚款及360万韩元行政处罚。

蒂芙尼（Tiffany & Co.）也遭遇了类似的语音钓鱼攻击，导致约4600人的信息外泄。

虽然蒂芙尼于去年5月9日发现了泄露事实，但直至5月22日才完成相关报告及用户通知，同样违反了法定时限要求。委员会最终决定对蒂芙尼处以24.12亿韩元罚款及720万韩元行政处罚。

针对这一系列事件，韩国个人信息保护委员会相关负责人强调：“企业即使采用SaaS模式运营业务，仍需对个人信息安全管理承担主体责任。必须彻底落实IP地址限制、安全认证升级以及访问日志监控等基础防护措施，以防患于未然。”