韩国隐私监管机构周四对SK电讯处以1348亿韩元(9720万美元)的创纪录罚款,原因是该公司在四月份披露的黑客攻击事件导致超过2300万移动用户的SIM卡信息泄露。
个人信息保护委员会表示,还征收了960万韩元的行政处罚,理由是"基础安全措施失效和管理不善"致使这家韩国最大移动通信运营商易受网络攻击。
SK电讯承认对数据泄露事件负有"重大责任",但表示对其补救措施和解释"未在裁决中得到充分体现"感到遗憾。该运营商称将在收到书面裁决后仔细研究详细内容,再决定后续措施。
调查人员发现,包括电话号码、用户识别码(IMSI)和SIM认证密钥在内的个人数据从LTE和5G用户及廉价手机用户处泄露。总计25类涉及2320万人的数据遭到泄露。
"SK电讯将其互联网、管理和内部网络连接在同一系统,且未限制外部对其内部管理服务器的访问,"个人信息保护委员会表示。"管理服务器被不必要地连接到发生泄露的归属用户服务器(HSS),使得黑客能够访问HSS并提取数据。"
该委员会还指出,该公司未能对2610万个SIM认证密钥进行加密,使其以明文形式暴露在数据库中。
该移动运营商还被指责忽视入侵检测日志,未应用可用安全补丁(包括2016年针对已知漏洞发布的补丁)。此外,根据个人信息保护委员会的说法,该公司将其首席隐私官的职责范围限定在IT服务领域,致使电信基础设施缺乏监管。
监管机构表示,尽管罚款金额低于最初预期的3500亿韩元上限,但这仍是根据韩国《个人信息保护法》开出的史上最高罚单。
根据修订后的法律,罚款最高可达公司收入的3%。基于SK电讯去年约12.8万亿韩元的无线服务销售额,行业官员曾预计罚款金额可能在3000亿韩元左右。
先前的大额罚款包括对谷歌处以692亿韩元和对meta处以308亿韩元的罚款,原因是这两家公司未经同意收集用户数据用于定向在线广告。
此前数据泄露案件的最高罚款记录是Kakao去年因开放聊天室个人信息泄露被处以151亿韩元罚款。另一家电信公司LG U+因影响约30万客户的另一起数据泄露事件被处以68亿韩元罚款。
四月份事件发生后,SK电讯为所有客户提供免费SIM卡更换服务,并向受业务暂停影响的经销商提供补偿。在政府与私营联合工作组发布最终调查结果后,该公司宣布一项承诺计划,包括为离网用户免除终止费、为所有客户提供8月账单五折优惠、额外50GB数据流量以及扩大会员权益。
