Das Technologie- und Online-Einzelhandelsunternehmen Coupang hat bestätigt, dass eine große Datenpanne persönliche Informationen von 33,7 Millionen Kundenkonten offengelegt hat. Das Unternehmen erklärte, dass es den Vorfall am 18. November 2025 entdeckt und die Kommission für den Schutz personenbezogener Daten, die Polizei und die nationale Cyberbehörde benachrichtigt habe. Laut Unternehmensaussagen enthielten die offengelegten Informationen Namen, E-Mail-Adressen, Telefonnummern, Versandadressen und einige Bestellverläufe. Coupang sagte, Zahlungsdaten und Zugangsdaten seien nicht abgerufen worden.
Die Regulierungsbehörden wurden darüber informiert, dass unbefugter Zugriff wahrscheinlich am 24. Juni 2025 über Server im Ausland begann. Ermittler berichteten, dass die Aktivität mehrere Monate andauerte, bevor sie entdeckt wurde. Die Behörden erklärten, sie prüfen Systemprotokolle, externe Zugangspunkte und mögliche Schwachstellen, die den Einbruch ermöglicht haben könnten. Sie verfolgen außerdem IP-Adressen, die mit dem Vorfall verbunden sind, und prüfen, ob die Datenschutzanforderungen eingehalten wurden.
Polizeibeamte erklärten, dass ein ehemaliger Mitarbeiter im Zusammenhang mit dem Vorfall untersucht wird. Laut Strafverfolgungsbehörden wird die Person verdächtigt, an dem unbefugten Zugang beteiligt gewesen zu sein und möglicherweise fremde Infrastruktur genutzt zu haben, um Aktivitäten zu verbergen. Die Ermittler haben während der andauernden Untersuchung keine weiteren Details veröffentlicht.
Coupang räumte ein, dass seine erste Überprüfung das Ausmaß des Verstoßes unterschätzt hatte. Erste Bewertungen deuteten darauf hin, dass nur einige tausend Nutzer betroffen waren. Die bestätigte Schätzung umfasst nun fast die gesamte koreanische Kundenbasis. Öffentliche Unterlagen zeigen, dass das Unternehmen im dritten Quartal 2025 24,7 Millionen aktive Kunden meldete, und die endgültige Anzahl der exponierten Konten übersteigt diese Zahl deutlich, da sie auch inaktive Konten einschließt.
Das Unternehmen blockierte nach der Entdeckung des Einbruchs die Zugangsroute und führte zusätzliche Überwachungsmaßnahmen ein. Sein Geschäftsführer entschuldigte sich öffentlich und sagte, das Unternehmen arbeite mit den Behörden zusammen, um die Untersuchung zu unterstützen und die Kontrollen bei Bedarf zu verstärken. Coupang informierte die Nutzer, dass sie auf ungewöhnliche Aktivitäten achten und verdächtige Nachrichten melden sollten.
Regierungsbehörden veröffentlichten öffentliche Leitlinien, die betroffene Nutzer warnen, bei Phishing-Versuchen wachsam zu sein. Beamte warnten, dass offengelegte Kontaktinformationen für betrügerische Anrufe oder Nachrichten verwendet werden könnten. Cybersicherheitsspezialisten stellten fest, dass Daten wie Namen, Adressen und Telefonnummern die Wirksamkeit gezielter Betrügereien auch ohne finanzielle Informationen erhöhen können.
Regulierungsbehörden prüfen, ob das Unternehmen die Regeln zum Datenmanagement und zur Benachrichtigung eingehalten hat. Beamte sagten, mögliche administrative Sanktionen hängen vom Ergebnis der Untersuchung und dem Ausmaß der identifizierten Fehler ab. Rechtsanalysten stellten fest, dass großflächige Datenpannen im Land zuvor zu erheblichen Geldstrafen und verpflichtenden Korrekturmaßnahmen geführt haben.
Die öffentliche Reaktion konzentrierte sich auf die Dauer des unbefugten Zugangs und die Lücke zwischen den ersten und endgültigen Schätzungen. Kommentatoren in den nationalen Medien stellten in Frage, wie lange der Vorfall unentdeckt blieb und ob interne Aufsichtsmaßnahmen ausreichend seien. Verbrauchergruppen fordern eine klarere Kommunikation von Unternehmen, die große Mengen personenbezogener Daten verarbeiten, sowie eine stärkere Durchsetzung von Datenschutzstandards.
Die Behörden erklärten, die Ermittlungen würden fortgesetzt werden, bis die vollständige Abfolge der Ereignisse festgelegt ist. Coupang erklärte, dass es bei Bedarf weitere Schutzmaßnahmen ergreifen und im Verlauf der Untersuchung Updates geben wird.