Historyczny wyciek danych w Coupang – CEO przyjmuje odpowiedzialność za kompromitację 33,7 mln kont

Park Dae-jun, dyrektor generalny koreańskiej części Coupang, zrezygnował ze stanowiska, przyjmując “poważną odpowiedzialność” za wyciek danych dotyczący prawie 34 milionów klientów. Było to największe naruszenie bezpieczeństwa danych w historii Korei Południowej. Atakujący rozpoczął nieautoryzowany dostęp do danych 24 czerwca, wykorzystując serwery zlokalizowane poza Koreą Południową, a wyciek pozostał niewykryty przez pięć miesięcy i obejmował imiona, adresy e-mail, numery telefonów, adresy dostawy oraz historię zamówień.

Coupang wykrył pierwszą fazę naruszenia 18 listopada 2025 roku, początkowo identyfikując nieautoryzowany dostęp do danych około 4500 klientów. Pogłębione dochodzenie ujawniło, że skompromitowanych zostało 33,7 mln kont – co stanowi niemal dwie trzecie z 52-milionowej populacji Korei Południowej i przewyższa deklarowaną bazę 25 mln aktywnych użytkowników firmy. Park, związany z firmą od 2012 roku i pełniący funkcję CEO od maja 2025, zakończył swoją kadencję w atmosferze narastającej presji politycznej. Jego miejsce zajął tymczasowo Harold Rogers jako CEO Coupang Corp. Prezydent Lee Jae Myung określił sytuację jako “naprawdę zdumiewającą”, wskazując, że Coupang przez pięć miesięcy nie wykrył nieautoryzowanego dostępu do swoich systemów. Minister nauki Bae Kyung-hoon potwierdził, że atakujący “wykorzystał luki w uwierzytelnianiu” na serwerach Coupang, a władze oceniają, czy firma naruszyła przepisy dotyczące ochrony danych osobowych.​

Policja w Seulu przeprowadziła dziś drugi dzień z rzędu nalot na biura Coupang, a siedemnastu członków wydziału śledczego ds. cyberprzestępczości zabezpieczało dowody. Nakaz przeszukania wskazuje jako podejrzanego obywatela Chin, byłego pracownika Coupang, który wcześniej pracował jako deweloper systemu uwierzytelniania. Podejrzany powrócił do Chin po dokonaniu nieautoryzowanego dostępu do danych. Park stanął przed parlamentarzystami podczas wielogodzinnego przesłuchania na początku grudnia, a kolejne przesłuchanie zarządu zaplanowano na przyszły tydzień na Zgromadzeniu Narodowym Korei Południowej. Wyciek mapuje techniki MITRE ATT&CK T1078 (Valid Accounts) i T1059 (Command and Scripting Interpreter), a początkowy dostęp prawdopodobnie uzyskano poprzez kompromitację danych uwierzytelniających lub phishing. Analiza śledcza ujawniła podejrzane adresy IP używane w zapytaniach do bazy danych, anomalne znaczniki czasu logowania oraz ruch sieciowy wskazujący na eksfiltrację danych.​

Coupang, z siedzibą w Seattle ale generujący większość przychodów w Korei Południowej, stanowi odpowiednik Amazona na lokalnym rynku e-commerce. Firma zapewniła, że dane płatności i informacje logowania nie zostały naruszone, ograniczając ryzyko kradzieży finansowej, ale eksponując zagrożenia dla prywatności. Jak dotąd Coupang wdrożył też pilne resetowanie haseł dla użytkowników, zastosował poprawki eliminujące luki w walidacji danych wejściowych, wzmocnił kontrolę dostępu poprzez uwierzytelnianie wieloskładnikowe (MFA) oraz zablokował podejrzane adresy IP. Incydent to kolejne naruszenie bezpieczeństwa w historii firmy – wcześniej ujawniono dane 460 000 klientów. W Korei Południowej szybkie rezygnacje po skandalach korporacyjnych są normą – w 2022 roku jeden ze współdyrektorów generalnych Kakao zrezygnował po długotrwałej przerwie w działaniu popularnej usługi komunikacyjnej.​