韩国监管机构对迪奥、蒂芙尼展开数据泄露调查

2025年6月1日，韩国个人信息保护委员会(PIPC)表示对奢侈品牌迪奥(Dior)与蒂芙尼(Tiffany &  Co.)的数据泄露事件展开调查，指两家公司未及时发现及上报泄露情况，涉嫌违反信息保护相关法规。这两家品牌均是全球时尚集团路威酩轩集团(LVMH)的子公司。

委员会表示，迪奥直到5月7日才发现1月26日发生的数据泄露事件，这已是100多天后。该公司在三天后的5月10日向委员会报告了此次数据泄露事件。根据《信息通信网络利用促进和信息保护法》，公司必须在发现此类事件后24小时内向韩国互联网安全局或科学信息通信技术部报告。

迪奥直到5月13日(在发现数据泄露六天后)才通过其网站和电子邮件通知告知客户。该公司表示，姓名、电话号码、电子邮件地址和邮寄地址均已泄露。

蒂芙尼韩国公司也未能及时发现数据泄露。4月份发生的一次数据泄露事件直到5月9日才被发现，并于5月22日(13天后)才报告。该公司仅通过电子邮件通知了部分客户，并未在其网站上发布通知。

PIPC表示，调查将重点确定违规的具体范围、核实是否遵守技术和管理保障措施，并审查这些公司是否违反了韩国的个人信息保护法。报告违规行为和通知客户方面的延迟将成为调查的重点。“如果确认存在任何违规行为，将依法采取适当措施，”委员会表示。

初步调查结果显示，违规行为是使用员工客户管理服务的账户凭证进行的。这两个品牌都使用基于软件即服务(SaaS)的客户管理平台，这些平台也将受到调查。“使用基于SaaS系统的公司应该对员工账户应用双因素身份验证，并实施IP地址限制，以防止未经授权的访问，”委员会表示。

LVMH旗下拥有80多个品牌。去年，迪奥和蒂芙尼韩国分公司的销售额分别为9453亿韩元(6.91亿美元)和3779亿韩元。

原文始发于微信公众号（安全学习那些事儿）：韩国监管机构对迪奥、蒂芙尼展开数据泄露调查