TVING CI·DI泄露引发二次 피해担忧……“正从多方面研究补偿方案”
“将诚实配合政府调查”
在在线视频服务平台Tving发生会员个人信息泄露事故的情况下,加密值形式的关联信息(CI)和重复注册确认信息(DI)也一并外泄,令人担忧可能出现二次 피해。
据4日政府和Tving消息,科学技术信息通信部已组建政企联合调查组,着手查明Tving信息泄露事故的原因及受害情况。目前据悉正在查看原始数据。
此前,Tving于前一天凌晨通过公告称,泄露的信息包括账号、姓名、出生日期、性别、CI、DI、手机号(后四位加密)、电子邮箱(除域名外的账号部分加密)等。网络攻击发生于本月1日,次日确认个人信息泄露事实后,已封锁攻击者的IP访问。
但随着CI和DI泄露,黑客可将其与其他网站或金融平台泄露的数据结合,从而识别同一自然人。由于这些加密值基于居民登记号码生成,往往会被用于冒名盗用或定向短信钓鱼。在这种情况下,甚至可以拼接出特定个人从线上到线下的活动轨迹乃至消费倾向。这也是政府将其判断为重大侵害事故并组建调查组的原因。
尤其是Tving在2025年12月曾检测到利用其他网站泄露账号进行批量撞库登录的“凭证填充”攻击,因此也有观点认为其安全薄弱点可能早已暴露。如果说当时还是防御立场,那么这次则可能对与Tving账号联动的其他服务造成二次损害,例如Naver Plus会员或通信运营商合作服务。
Tving虽未公布泄露规模,但目前其付费订阅用户约为500万人,月活跃用户数预计为770万至800万人。Tving相关人士表示:“目前正在核实此次泄露事故所影响的客户范围等,以调查准确规模”,并补充称:“我们也将尽最大准备提出补偿方案。”
另一方面,除政企联合调查外,个人信息保护委员会也正在查明事实关系,以确认是否违反相关法律。个人信息保护委员会表示:“前一天凌晨已收到申报,正在履行相关程序。”若Tving被查明存在过失,最高可被处以相当于总销售额3%的罚款性课征金。Tving去年销售额约为4059亿韩元。将最高处罚标准提高至总销售额10%的《个人信息保护法》修正案将于今年9月起施行,因此此次不适用。
版权所有 © 阿视亚经济 (www.asiae.co.kr)。 未经许可不得转载。
