Das Technologie- und Online-Einzelhandelsunternehmen Coupang sieht sich mit den folgenden the exposure of data from 33.7 million customer accounts Konsequenzen konfrontiert. Behörden, Regulierungsbehörden und Verbraucher haben die Beobachtung des Unternehmens verstärkt, während die Ermittlungen voranschreiten und die Auswirkungen des Lecks deutlicher werden.
Die Aufsichtsbehörden leiteten nach Bestätigung des Verstoßes eine formelle Untersuchung ein. Die Polizei erklärte, sie prüfe technische Schwachstellen und verfolge den Zugangsweg, mit dem die Daten entnommen wurden. Beamte vermuten, dass ein ehemaliger Mitarbeiter nach seinem Ausscheiden aus dem Unternehmen eine aktive Authentifizierungsausweise verwendet haben könnte. Regierungsbehörden riefen Notfallsitzungen ein, um zu prüfen, ob die Datenschutzregeln eingehalten wurden und ob Coupang seinen Verpflichtungen aus dem nationalen Datenschutzrecht nachgekommen sei. Die Aufsichtsbehörden erklärten, dass die Compliance-Bilanz und die internen Kontrollen des Unternehmens im Rahmen der Untersuchung geprüft würden.
Die öffentliche Reaktion konzentrierte sich auf das Ausmaß des Einbruchs und den Zeitraum, in dem der Einbruch unentdeckt blieb. Die bestätigte Zahl deckt fast die gesamte Nutzerbasis ab und übersteigt bei weitem die anfängliche Schätzung von einigen tausend betroffenen Konten. Medienkommentare hoben Bedenken hinsichtlich der Aufsicht hervor, nachdem bekannt wurde, dass das Unternehmen national anerkannte Sicherheitszertifikate besaß. Kommentatoren stellten die Frage, wie der Einbruch trotz dieser Zertifizierungen stattgefunden habe und warum interne Systeme den Einbruch nicht früher erkannt hätten.
Verbrauchern wurde geraten, bei Phishing-Versuchen wachsam zu bleiben. Sicherheitsbehörden warnten, dass offengelegte Kontaktinformationen verwendet werden könnten, um Lieferdienste, Kundensupportteams oder Finanzinstitute zu imitieren. Behörden erklärten, dass das Fehlen geleakter Zahlungsdaten das Risiko nicht beseitige, da persönliche Informationen weiterhin Social Engineering unterstützen können.
Auch rechtliche Konsequenzen zeigen sich. Hunderte von Kunden haben Interesse daran bekundet, an einer Sammelklage teilzunehmen, um Entschädigung für den angeblichen Schaden zu fordern. Die Anwälte, die diese Kunden vertreten, erklärten, sie würden prüfen, ob das Unternehmen angemessene Maßnahmen zum Schutz personenbezogener Daten ergriffen hat und ob Verzögerungen bei der Identifizierung der Verletzung zu Expositionsrisiken beitragen. Regulierungsbehörden erklärten, dass mögliche Geldstrafen vom Ergebnis laufender Untersuchungen und von bestätigten Verstößen abhängen.
Regierungsbeamte sagten, der Vorfall könne zu umfassenderen Änderungen der Datenschutzpolitik führen. Sie stellten fest, dass wiederholte Vorfälle bei zertifizierten Unternehmen Fragen zur Wirksamkeit der aktuellen Compliance-Rahmenwerke aufwerfen. Behörden überprüfen Anforderungen für Zugriffsmanagement und Mitarbeiterberechtigungen und erwägen eine strengere Aufsicht über große digitale Plattformen.
Coupang erklärte, dass es den im Vorfall genutzten Zugangsweg gesperrt und die interne Überwachung verstärkt habe. Das Unternehmen erklärte, es kooperiere mit Ermittlern und Regulierungsbehörden. Die Behörden haben angedeutet, dass im Verlauf der Untersuchung weitere Aktualisierungen folgen werden.