Las autoridades de protección de datos de ese país impusieron sanciones históricas a las filiales coreanas de las tres marcas de lujo por fallos de seguridad en plataformas SaaS que derivaron en brechas que afectaron a más de 5,5 millones de usuarios.
Las subsidiarias en Corea del Sur de las marcas de lujo Louis Vuitton, Christian Dior Couture y Tiffany & Co., pertenecientes al grupo francés LVMH, fueron sancionadas con un total de 36 mil millones de wons (aproximadamente USD 25 millones) por la Comisión de Protección de Información Personal de ese país (PIPC) tras determinar que no implementaron medidas de seguridad adecuadas en sus sistemas de gestión de clientes basados en la nube, lo que facilitó múltiples filtraciones de datos personales.
Según lo indicado por el ente regulador surcoreano, los ataques que desencadenaron las brechas explotaron errores básicos de ciberseguridad en plataformas software-as-a-service (SaaS) utilizadas para administrar información de clientes, demostrando que la adopción de herramientas externas no exime a las empresas de su responsabilidad de resguardar los datos que manejan.
En el caso de Louis Vuitton Korea, la investigación reveló que un dispositivo de un empleado fue infectado con malware, permitiendo a los atacantes acceder a credenciales de la plataforma SaaS y exfiltrar información de aproximadamente 3,6 millones de clientes. Los investigadores señalaron que la empresa no había aplicado controles fundamentales como restricciones de acceso por dirección IP o métodos de autenticación robustos, a pesar de utilizar la plataforma desde 2013. Por estas deficiencias, Louis Vuitton enfrentó la mayor multa, de unos 14,8 millones de dólares.
En Dior, la brecha se originó tras un ataque de phishing dirigido a un empleado de atención al cliente. El trabajador fue engañado para que entregara acceso al SaaS, lo que condujo a la exposición de datos de cerca de 1,95 millones de individuos. La PIPC criticó no solo la falta de listas de acceso permitidas y la ausencia de límites para descargas masivas de datos, sino también la demora de la empresa en notificar la brecha. La autoridad indicó que la comunicación oficial a las autoridades se realizó cinco días después de detectarse el incidente, excediendo el plazo de 72 horas previsto por la ley surcoreana. Como resultado, Dior fue multada con alrededor 8,4 millones de dólares.
El incidente de Tiffany Korea siguió un patrón similar de vishing (phishing por voz), donde un empleado fue manipulado para otorgar acceso al sistema, aunque con un impacto mucho menor, afectando cerca de 4.600 registros de clientes. Tiffany también carecía de controles de acceso basados en IP y no notificó la brecha dentro del período legal requerido, lo que le costó una sanción aproximadamente USD 1,65 millones.