Южная Корея оштрафовала Louis Vuitton, Dior и Tiffany на $25 млн за утечки данных клиентов
Комиссия по защите персональной информации Южной Кореи оштрафовала три люксовых бренда на общую сумму около $25 млн за нарушения при защите данных более 5,5 млн клиентов, выявленные при расследовании утечек, связанных с SaaS-системами управления клиентами.
Комиссия по защите персональной информации Южной Кореи (Personal Information Protection Commission, PIPC) оштрафовала местные подразделения Louis Vuitton, Christian Dior Couture и Tiffany за нарушения Закона о защите персональной информации (Personal Information Protection Act, PIPA). Речь идет о недостаточных мерах безопасности при использовании облачных сервисов управления клиентскими данными, в результате чего были раскрыты данные более 5,5 млн клиентов, как сообщила PIPC.
В случае Louis Vuitton инцидент начался с заражения устройства сотрудника вредоносным ПО, что позволило злоумышленникам получить учетные данные к SaaS-платформе. Были скомпрометированы данные около 3,6 млн клиентов в рамках трех эпизодов в июне 2025 года. Компания использовала систему с 2013 года, но не внедрила ограничения доступа по IP-адресам и не применяла усиленные механизмы аутентификации при удаленном доступе, как указывается в сообщении Personal Information Protection Commission (PIPC). Штраф для Louis Vuitton составил около $16,4 млн.
В Dior утечка произошла через фишинговую атаку на сотрудника клиентской поддержки, который предоставил злоумышленнику доступ к SaaS-системе. По информации PIPC были раскрыты данные примерно 1,95 млн клиентов. По данным регулятора, компания не внедрила IP-ограничения, не ограничила массовую выгрузку данных и не анализировала журналы доступа, из-за чего инцидент оставался незамеченным более трех месяцев. Кроме того, уведомление было направлено с нарушением установленного 72-часового срока. Штраф составил около $9,4 млн.
Tiffany подверглась аналогичной атаке с использованием голосового фишинга (vishing): сотрудник службы поддержки предоставил злоумышленнику доступ к системе. Были скомпрометированы данные около 4,6 тыс. клиентов. Компания также не реализовала IP-ограничения и контроль массовых выгрузок и не уведомила пострадавших в установленный срок. Размер штрафа составил около $1,85 млн.
Общий объем штрафов превысил $25 млн, а нарушения затронули более 5,5 млн клиентов трех брендов. Как подчеркнула PIPC, использование SaaS-решений не освобождает компании от ответственности за защиту персональных данных и соблюдение требований законодательства.
Читайте также
