Ủy ban Bảo vệ Dữ liệu Cá nhân Hàn Quốc (PIPC) tại phiên họp toàn thể lần thứ 7 ngày 22/4 đã quyết định xử phạt ba doanh nghiệp vi phạm quy định về bảo vệ dữ liệu cá nhân. Tổng mức xử phạt gồm 4.788,2 tỷ won tiền phạt hành chính và 17,4 triệu won tiền phạt bổ sung, kèm yêu cầu khắc phục và công khai kết quả xử lý.

Ba đơn vị bị xử phạt là KS Korea Employment Information, Duo Information và Geumneung Park Cemetery. Theo PIPC, cả ba doanh nghiệp đều buông lỏng biện pháp bảo mật đối với hệ thống xử lý dữ liệu cá nhân, làm phát sinh sự cố rò rỉ dữ liệu. Một số trường hợp còn thu thập, lưu trữ hoặc xử lý số định danh cá nhân không có căn cứ pháp lý.

PIPC cho biết hệ thống của KS Korea Employment Information đã bị tin tặc xâm nhập sau khi đối tượng chiếm được thông tin tài khoản quản trị. Ngày 15/4/2025, tin tặc truy cập trang quản trị và tải xuống dữ liệu cá nhân của 40.875 người, gồm tư vấn viên, nhân viên trụ sở chính và ứng viên xin việc.

Dữ liệu bị lộ bao gồm bản sao sổ hộ khẩu, bản sao giấy tờ tùy thân, bản sao sổ ngân hàng và giấy chứng nhận quan hệ gia đình mà tư vấn viên và nhân viên đã nộp trong quá trình tuyển dụng hoặc làm việc. Không chỉ dữ liệu của đương sự, nhiều thông tin của người thân cũng nằm trong số bị rò rỉ.

Sau đó, tin tặc đăng dữ liệu lên dark web và tìm cách giao dịch cơ sở dữ liệu đã đánh cắp. Kết quả điều tra cho thấy KS Korea Employment Information vận hành chung chức năng quản lý nhân sự và tổng đài trên cùng một hệ thống nhưng không giới hạn truy cập theo địa chỉ IP, đồng thời không áp dụng phương thức truy cập hoặc xác thực an toàn. Vì vậy, bên ngoài có thể đăng nhập chỉ bằng ID và mật khẩu mà gần như không bị hạn chế.

PIPC đã phạt KS Korea Employment Information 3,537 tỷ won và 4,2 triệu won tiền phạt bổ sung. Cơ quan này cũng yêu cầu doanh nghiệp định kỳ kiểm tra nhật ký truy cập, tình trạng tải xuống dữ liệu cá nhân, đồng thời xây dựng và vận hành quy trình hủy dữ liệu cá nhân.

Duo Information, doanh nghiệp môi giới hôn nhân, bị phạt 1,197 tỷ won và 13,2 triệu won tiền phạt bổ sung liên quan đến vụ tấn công làm rò rỉ dữ liệu của toàn bộ hội viên chính thức.

Theo PIPC, vào tháng 1/2025, tin tặc đã phát tán mã độc vào máy tính làm việc của nhân viên Duo Information khi thiết bị này kết nối Internet. Sau khi lấy được thông tin tài khoản của máy chủ cơ sở dữ liệu, đối tượng truy cập hệ thống lưu trữ dữ liệu hội viên, tải xuống dữ liệu cá nhân của toàn bộ 427.464 hội viên chính thức và đưa ra ngoài.

Cơ quan quản lý xác định Duo Information không thiết lập các biện pháp như khóa hoặc hạn chế truy cập sau số lần xác thực thất bại vượt ngưỡng quy định đối với hệ thống DB lưu trữ dữ liệu hội viên. Doanh nghiệp này cũng sử dụng thuật toán mã hóa không an toàn đối với số định danh cá nhân và mật khẩu, vi phạm nghĩa vụ bảo đảm an toàn dữ liệu.

Ngoài ra, Duo Information còn bị xác định đã thu thập và lưu trữ số định danh cá nhân của hội viên mà không có căn cứ pháp lý riêng. Doanh nghiệp cũng không xóa 298.566 hồ sơ hội viên đã quá thời hạn lưu trữ 5 năm theo chính sách xử lý dữ liệu cá nhân.

PIPC cho biết Duo Information đã nắm được sự cố nhưng không báo cáo trong vòng 72 giờ dù không có lý do chính đáng. Cơ quan này cũng cho rằng, do đặc thù hoạt động môi giới hôn nhân, công ty không chỉ thu thập thông tin cơ bản của người tìm bạn đời mà còn nắm nhiều dữ liệu nhạy cảm như học vấn, tôn giáo và nơi làm việc. Tuy nhiên, đến nay doanh nghiệp vẫn chưa thông báo sự cố cho các chủ thể dữ liệu, cho thấy thiếu sót trong ứng phó nhằm ngăn chặn thiệt hại thứ cấp.

Trong khi đó, Geumneung Park Cemetery để lộ dữ liệu của 5.373 người dùng, gồm họ tên, số định danh cá nhân và số điện thoại di động, do tin tặc khai thác lỗ hổng thay đổi tham số trên trang tra cứu và nộp phí quản lý của website.

Kết quả điều tra cho thấy Geumneung Park Cemetery đã không kiểm tra và khắc phục đầy đủ lỗ hổng trên website, không mã hóa dữ liệu cá nhân khi truyền qua Internet, đồng thời lưu số định danh cá nhân dưới dạng văn bản thuần. Những hành vi này bị xác định là vi phạm nghĩa vụ bảo vệ dữ liệu cá nhân.

PIPC phạt Geumneung Park Cemetery 54,2 triệu won và yêu cầu doanh nghiệp tăng cường hệ thống quản lý an toàn dữ liệu cá nhân, bao gồm rà soát lỗ hổng trong hệ thống xử lý dữ liệu và áp dụng biện pháp mã hóa, nhằm ngăn sự cố tái diễn.