文章总结： 韩国监管机构因数据泄露对路易威登、迪奥和蒂芙尼处以2500万美元罚款，涉及550万客户。路易威登因设备染毒泄露360万数据，迪奥遭钓鱼泄露195万数据且延迟通报，蒂芙尼遭语音钓鱼。处罚主因包括缺乏访问控制、监控缺失及通报违规。监管强调使用SaaS不豁免企业数据安全责任。 综合评分： 78 文章分类： 数据泄露,政策法规,云安全

路易威登、迪奥和蒂芙尼因数据泄露被罚款2500万美元

Rhinoer Rhinoer

犀牛安全

2026年3月6日 00:00 北京

韩国对奢侈时尚品牌路易威登、迪奥高级定制和蒂芙尼处以 2500 万美元的罚款，原因是这些品牌未能实施足够的安全措施，导致未经授权的访问和超过 550 万客户的数据泄露。

这三个品牌都隶属于路易威登酩悦轩尼诗集团 (LVMH)，在黑客入侵其基于云的客户管理服务后，均遭受了数据泄露。

韩国个人信息保护委员会 (PIPC) 表示，在路易威登的案例中，一名员工的设备感染了恶意软件，导致其软件即服务 (SaaS) 系统遭到破坏，360 万客户的数据遭到泄露。

虽然没有明确指出具体产品，但谷歌研究人员已将这些攻击活动与ShinyHunters黑客组织联系起来，该组织曾以Salesforce平台为攻击目标。该黑客组织后来声称对LVMH系统发动了入侵。

去年这三个区域品牌的数据泄露事件暴露了敏感的客户数据，包括姓名、电话号码、电子邮件地址、邮政地址和购买记录。

PIPC表示，路易威登自 2013 年以来一直在运营 SaaS 工具，但“没有限制对互联网协议 (IP) 地址等的访问权限，也没有在个人信息处理者从外部访问该服务时应用安全的身份验证方法”。

由于未能充分保障客户数据的访问安全，韩国数据保护机构对路易威登处以 1640 万美元的罚款，并责令该公司在其商业网站上公布处罚决定。

在迪奥，数据泄露事件是通过针对客户服务员工的网络钓鱼攻击发生的，该员工被骗向黑客授予了对 SaaS 系统的访问权限，导致 195 万客户的数据泄露。

Dior 自 2020 年以来一直在使用该系统，但没有实施允许列表，没有设置批量数据下载限制，也没有检查访问日志，导致数据泄露事件的发现延迟了三个多月。

此外，迪奥韩国公司在得知信息泄露事件五天后向韩国个人信息保护委员会（PIPC）披露了此事。根据《个人信息保护法》（PIPA），企业必须在知悉个人信息泄露事件后72小时内通知数据保护机构。

由于这些违规行为，PIPC宣布对迪奥韩国公司处以940万美元的罚款。

Tiffany 也遭遇了类似的攻击，攻击者利用语音钓鱼诱骗客服人员授予其 SaaS 系统访问权限。不过，此次事件的影响要小得多，仅有 4600 名客户受到影响。

与另外两起案件类似，蒂芙尼也未能实施基于IP地址的访问控制和批量数据下载限制，并且没有在法律规定的期限内通知受影响的个人。该品牌被处以185万美元的罚款。

PIPC强调，SaaS解决方案并不能免除公司安全管理客户数据的责任，也不能将该责任转移给这些解决方案的供应商。

信息来源：BleepingComputer

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《路易威登、迪奥和蒂芙尼因数据泄露被罚款2500万美元》