افشای داده‌های Shinhan Card کره‌جنوبی و تأثیر آن بر ۱۹۲ هزار پذیرنده

شرکت خدمات مالی کره‌جنوبی Shinhan Card تأیید کرده است که در پی یک نقض داده، اطلاعات شخصی حدود ۱۹۲ هزار پذیرنده کارت افشا شده است. این حادثه که شامل افشای غیرمجاز شماره تلفن‌ها و برخی اطلاعات شخصی محدود بوده، روز سه‌شنبه به کمیسیون حفاظت از اطلاعات شخصی کره‌جنوبی (PIPC) گزارش شده است.

طبق اعلام Shinhan Card، این نقض داده پذیرندگان خویش‌فرما را که در قالب مکان‌های پذیرندگی فرانچایزی فعالیت می‌کنند و اطلاعات شخصی خود را به‌عنوان بخشی از قراردادهای استاندارد پذیرندگی ارائه داده بودند، تحت تأثیر قرار داده است. این شرکت اعلام کرده که در حال حاضر هیچ شواهدی مبنی بر افشای اطلاعات مالی حساس مانند شماره کارت‌های اعتباری، جزئیات حساب‌های بانکی یا شماره‌های شناسایی ملی وجود ندارد.

شناسایی تخلف داخلی کارکنان به‌عنوان علت افشای داده‌های Shinhan Card

Shinhan Card در بیانیه‌ای توضیح داد که این افشای داده نتیجه یک حمله سایبری خارجی نبوده است. بلکه شرکت به سوءرفتار داخلی مشکوک است و ادعا می‌کند یکی از کارکنان یک شعبه فروش، داده‌های پذیرندگان را برای اهداف فروش، به یک جذب‌کننده کارت منتقل کرده است.

یکی از مقامات Shinhan Card گفت: «این حادثه ناشی از هک خارجی نبوده، بلکه به‌دلیل تخلف یک کارمند رخ داده است.» او افزود که فرآیند داخلی مربوطه مسدود شده و بلافاصله پس از آگاهی از حادثه، تحقیق داخلی آغاز شده و اقداماتی برای جلوگیری از تکرار چنین مواردی انجام شده است.

دامنه اطلاعات شخصی افشا شده

داده‌های افشا شده عمدتاً شامل شماره تلفن‌های همراه بوده که حدود ۱۸۰ هزار مورد را در بر می‌گیرد. در حدود ۸ هزار مورد، شماره تلفن‌ها همراه با نام افراد افشا شده‌اند. بخش کوچک‌تری از رکوردها نیز شامل اطلاعات اضافی مانند تاریخ تولد و جنسیت بوده است.

Shinhan Card اعلام کرده که بررسی‌های انجام‌شده نشان نمی‌دهد شماره ثبت ملی شهروندان، شماره کارت‌ها، جزئیات حساب یا اطلاعات اعتباری افشا شده باشد. همچنین تاکنون هیچ مورد تأییدشده‌ای از سوءاستفاده از اطلاعات افشا شده گزارش نشده است.

زمان‌بندی افشای داده و اطلاع‌رسانی به نهاد ناظر

این نقض داده ماه گذشته و پس از ارسال یک گزارش به کمیسیون حفاظت از اطلاعات شخصی کره‌جنوبی آشکار شد. پس از دریافت این گزارش، PIPC از Shinhan Card خواست مدارک پشتیبان ارائه دهد تا دامنه و علت حادثه ارزیابی شود.

پس از تکمیل بررسی داخلی، Shinhan Card در تاریخ ۲۳ دسامبر به‌صورت رسمی نقض داده را به PIPC گزارش داد و الزامات قانونی افشای حادثه را رعایت کرد. این شرکت اعلام کرده که همچنان در حال همکاری با نهادهای نظارتی در جریان فرآیند بررسی است.

واکنش شرکت و اقدامات حمایتی برای پذیرندگان

در واکنش به این حادثه، Shinhan Card یک عذرخواهی رسمی منتشر کرد و راهنمایی‌های لازم را از طریق وب‌سایت و اپلیکیشن موبایل خود ارائه داد. همچنین یک صفحه اختصاصی راه‌اندازی شده تا پذیرندگان بتوانند بررسی کنند آیا اطلاعات شخصی آن‌ها تحت تأثیر قرار گرفته است یا خیر.

سخنگوی Shinhan Card گفت: «ما تمام تلاش خود را برای حفاظت از مشتریان و جلوگیری از تکرار چنین حوادثی به کار خواهیم گرفت.» این شرکت تأکید کرده که در حال تقویت کنترل‌های داخلی و بازبینی سطح دسترسی‌ها به داده‌های پذیرندگان است.

Shinhan Card همچنین از پذیرندگان خواسته است نسبت به تلاش‌های احتمالی فیشینگ یا تماس‌های ناخواسته هوشیار باشند، هرچند تاکنون هیچ آسیب اضافی مرتبط با داده‌های افشا شده تأیید نشده است.

پیامدهای گسترده‌تر برای حفاظت از داده‌های مالی

حادثه افشای داده‌های Shinhan Card بار دیگر چالش‌های مداوم در حوزه حاکمیت داده و ریسک‌های داخلی در مؤسسات مالی را برجسته می‌کند؛ حتی در شرایطی که شرکت‌ها سرمایه‌گذاری سنگینی برای مقابله با تهدیدات سایبری خارجی انجام می‌دهند. در حالی که بسیاری از نقض‌های داده در سطح جهانی ناشی از هک یا باج‌افزار هستند، حوادث ناشی از تخلف کارکنان همچنان یک نگرانی جدی برای بانک‌ها و ارائه‌دهندگان خدمات پرداخت محسوب می‌شود.

مقامات هنوز اعلام نکرده‌اند که آیا جریمه یا اقدامات اصلاحی در پی این بررسی اعمال خواهد شد یا خیر. در حال حاضر، Shinhan Card اعلام کرده تمرکز اصلی‌اش بر حفاظت از مشتریان و بازسازی اعتماد پس از این حادثه است.