SK Telecom оштрафована на $97 млн за утечку данных 27 млн человек
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
SK Telecom, один из крупнейших телекоммуникационных операторов Южной Кореи, получил штраф почти 100 миллионов долларов за небрежное отношение к безопасности данных своих пользователей. В апреле 2025 года компания обнаружила вредоносное ПО, которое позволяло злоумышленникам оставаться в системах SKT несколько лет: некоторые исследователи утверждают, что атака началась ещё в августе 2021 года.
Взломщики проникли в серверы SKT, отвечающие за хранение информации абонентов (Home Subscriber Server, HSS), и другие ключевые инфраструктурные участки. В результате были раскрыты важные личные данные: ключи аутентификации USIM-карт (KI), международные идентификаторы абонентов (IMSI), идентификаторы устройств (IMEI), а также номера телефонов, электронные адреса и, возможно, другая личная информация.
От этого инцидента пострадало около 27 миллионов человек — чтобы вы поняли масштаб, это примерно половина населения Южной Кореи.
Комиссия по защите персональных данных Южной Кореи, организация при правительстве, официально заявила о штрафе в размере около 134 миллиардов вон (96,53 миллиона долларов) за «игнорирование обязанностей по обеспечению мер безопасности» и «задержку с уведомлением клиентов об утечке».
Власти также отметили, что системы SKT находились в «чрезвычайно уязвимом состоянии»: отсутствовали пароли и другие элементарные средства защиты от внешнего доступа, а операционные системы устарели и не обновлялись до последних патчей безопасности.
Помимо выплаты штрафа, компания обязана ужесточить политику информационной безопасности и пересмотреть корпоративное управление.
В ответ на запрос Reuters SK Telecom заявила, что «осознаёт всю серьёзность ситуации» и обещает сделать защиту данных клиентов «приоритетом номер один». В экстренном порядке внедряется «План инноваций в информационной безопасности»: переход на zero-trust (нулевое доверие) модели, усиление шифрования, создание новой команды хакеров-аудиторов (red team), повышение статуса директора по безопасности (CISO), чтобы тот напрямую подчинялся генеральному директору, а также приглашение специалистов по кибербезопасности в совет директоров.
В качестве компенсации абоненты получили бесплатную замену USIM-карт и скидку 50% на абонентскую плату за август. Желающие расторгнуть контракт смогли сделать это без штрафов.
Каждый раз, когда крупный бизнес попадает на штраф почти в сто миллионов, становится грустно — не столько за сам бизнес, сколько за уровень аудита и заботы о конечных пользователях.
SK Telecom снова оправдывает стереотип: безопасность данных — это миф для инвесторов. Серверы компании годами стояли без паролей, обновления программного обеспечения не делались. Зато поток абонентов — личных данных, IMEI, IMSI, даже ключей — лился свободным ручьём. Всё это, неожиданно, заметили сначала хакеры, а потом уже государство. Абонентам выдали минимальные плюшки, и сошлось на обещаниях взяться за ум.
Корпорации используют магические слова типа "zero trust", чтобы показать заботу после того, как всё украли. Совет директоров расширили до неприличия, назначили CISO — наверняка братья и кенты, зато красиво.
Случайно оказалась аффилированная комиссия, на случайно выросший штраф, в стране, где телеком — скорее корпоративный корабль, чем пассажирский паром. Но теперь все клиенты — свободные люди, их данные гуляют по свету. Какая всё же ирония: бесплатные SIM-карты — как утешительный приз на лотерее провальных стандартов безопасности.