近日,韩国个人信息保护委员会(PIPC)对韩国最大移动通信运营商SK电讯(SK Telecom)处以1345亿韩元(约合人民币6.88亿元)的创纪录罚款,原因系该公司发生韩国史上最严重数据泄露事件,导致约9.82GB用户数据外泄,涉及手机号码、国际移动用户识别码(IMSI)、USIM卡认证密钥、网络使用记录及短信、联系人等25类个人信息。
数据泄露规模空前,潜伏期长达三年
2025年4月,SK电讯在核心网络数据库中发现异常活动后隔离了受感染服务器。但同年5月联合调查结果显示,实际影响远超初期披露:共2695万个IMSI数据泄露,波及SK电讯及其移动虚拟网络运营商(MVNO)服务的约2500万用户,占韩国总人口近45%;23台服务器被攻陷,其中15台存储客户个人信息,约29万条国际移动设备识别码(IMEI)可能外泄。
调查发现系统内存在25个后门程序,最早入侵可追溯至2022年6月,攻击者潜伏长达三年。更严重的是,SK电讯直至2024年12月31日才开始记录服务器日志,导致此前两年半的关键数据缺失,无法追溯具体泄露内容与攻击行为。
安全防护形同虚设,多环节严重失守
PIPC指出,SK电讯在网络安全管理上存在系统性漏洞:约4899个用户名和密码明文散落在2365台服务器上,访问核心归属用户服务器(HSS)甚至无需身份验证。此类低级错误极大加剧了数据暴露风险。
巨额处罚与全面整改并行
此次事件引发全国性恐慌,大量用户前往营业厅更换USIM卡。PIPC强调,处罚金额创下韩国历史之最,旨在体现事件严重性及受影响信息规模。除罚款外,SK电讯被责令完善加密机制、强化身份认证与访问控制,并建立实时入侵检测系统。公司已计划在未来五年投入7000亿韩元(约36.5亿元人民币)全面提升网络安全能力。
行业趋势:从“补漏”到“重构”安全体系
面对日益严峻的网络威胁,全球电信运营商正加速转向“无密码”(passwordless)身份认证技术。例如,曾多次遭遇重大数据泄露的美国T-Mobile已采购逾20万枚符合FIDO标准的硬件安全密钥,用于加固信息系统。
FIDO联盟自2012年成立以来,推动制定FIDO UAF、U2F、FIDO2等高安全性、易部署的身份验证规范,成员包括谷歌、微软、苹果、三星、Intel等科技巨头。飞天诚信于2014年加入该联盟,现为董事会成员之一。
飞天诚信已构建完整FIDO硬件安全密钥产品线,全系列产品通过FIDO认证,安全等级满足NIST SP 800-63B AAL3最高标准。支持USB-A、USB-C、NFC及BLE接口,可广泛应用于电脑与手机端的账号登录与单点登录场景,现已兼容Google、AWS等主流在线服务。
SK电讯的数据泄露事件敲响了传统身份认证模式的警钟。在“用户名+密码”已难以应对复杂网络攻击的当下,“无密码”技术正成为企业安全升级的重要方向。真正的安全或许不在于记住更多复杂密码,而在于彻底摆脱对密码的依赖。未来已来,关键在于是否做好准备。