Luxe merken Louis Vuitton, Dior en Tiffany hebben wegens verschillende datalekken in Zuid-Korea boetes van in totaal 21 miljoen euro gekregen. Bij aanvallen wisten criminelen de gegevens van meer dan 5,5 miljoen klanten te stelen. Het grootste deel van de boete, 12,5 miljoen euro, was voor Louis Vuitton. Het bedrijf gebruikte een klantbeheersysteem dat geen veilige inlogmethodes toepaste en ook voor iedereen vanaf het internet toegankelijk was. De toegang werd niet beperkt op basis van ip-adres, aldus de Zuid-Koreaanse privacytoezichthouder PIPC.

De systemen van Louis Vuitton-medewerkers raakten besmet met malware, waarna de aanvallers de inloggegevens konden stelen. Via deze gegevens konden ze op het klantbeheersysteem inloggen en gedurende drie verschillende keren de persoonlijke gegevens van zo'n 3,6 miljoen mensen stelen.

Bij Dior werden de gegevens van bijna twee miljoen klanten gestolen, nadat een medewerker die werd misleid criminelen toegang tot een SaaS-omgeving van het bedrijf gaf. Het systeem was voor elk ip-adres toegankelijk en beperkte niet het gebruik van tools om grote hoeveelheden data te downloaden. Verder werden logbestanden niet tijdig genoeg gecontroleerd, waardoor het datalek meer dan drie maanden onopgemerkt bleef. Verder meldde Dior het datalek te laat bij de PIPC. Voor de overtredingen kreeg het bedrijf een boete van omgerekend 7,1 miljoen euro.

In het geval van Tiffany wisten criminelen ook toegang tot persoonlijke informatie te krijgen nadat ze een medewerker door middel van voice phishing hadden misleid. Het ging om de gegevens van 4600 mensen. Bij het bepalen van het boetebedrag hekelde de PIPC opnieuw het ontbreken van het beperken van toegang op basis van ip-adres en het beperken van tools om op grote schaal data te downloaden. Ook Tiffany meldde het datalek na ontdekking niet binnen de 72 uur die hiervoor staat. De boete voor Tiffany bedraagt omgerekend 1,4 miljoen euro.