Technologie- en online retailbedrijf Coupang heeft bevestigd dat een groot datalek persoonlijke informatie van 33,7 miljoen klantaccounts heeft blootgelegd. Het bedrijf verklaarde het incident op 18 november 2025 te hebben ontdekt en heeft de Personal Information Protection Commission, de politie en de nationale cyberdienst op de hoogte gebracht. Volgens bedrijfsverklaringen omvatte de blootgemaakte informatie namen, e-mailadressen, telefoonnummers, verzendadressen en enkele bestelgeschiedenissen. Coupang zei dat betalingsgegevens en inloggegevens niet werden benaderd.
Toezichthouders werden geïnformeerd dat ongeautoriseerde toegang waarschijnlijk begon op 24 juni 2025, via servers in het buitenland. Onderzoekers meldden dat de activiteit nog enkele maanden doorging voordat het werd ontdekt. De autoriteiten zeiden dat ze systeemlogboeken, externe toegangspunten en mogelijke zwakke plekken onderzoeken die mogelijk de inbreuk mogelijk maakten. Ze traceren ook IP-adressen die aan het incident zijn gekoppeld en controleren of aan de gegevensbeschermingseisen zijn voldaan.
Politiefunctionarissen verklaarden dat een voormalige werknemer wordt onderzocht in verband met de inbreuk. Volgens de politie wordt de persoon verdacht van betrokkenheid bij de ongeoorloofde toegang en kan hij buitenlandse infrastructuur hebben gebruikt om activiteiten te verbergen. Onderzoekers hebben geen verdere details vrijgegeven terwijl het onderzoek loopt.
Coupang erkende dat de eerste beoordeling de omvang van het lek onderschatte. Vroege beoordelingen suggereerden dat slechts enkele duizenden gebruikers werden getroffen. De bevestigde schatting dekt nu bijna de gehele Koreaanse klantenbasis. Openbare gegevens tonen aan dat het bedrijf in het derde kwartaal van 2025 24,7 miljoen actieve klanten rapporteerde, en het uiteindelijke aantal blootgestelde rekeningen overschrijdt dat cijfer aanzienlijk omdat het ook inactieve rekeningen omvat.
Het bedrijf blokkeerde de toegangsroute na het detecteren van de inbreuk en voerde aanvullende monitoringsmaatregelen in. De CEO bood publiekelijk zijn excuses aan en zei dat het bedrijf samenwerkt met de autoriteiten om het onderzoek te ondersteunen en waar nodig de controles te versterken. Coupang informeerde gebruikers dat ze moesten letten op ongewone activiteiten en verdachte berichten moesten melden.
Overheidsinstanties hebben openbare richtlijnen uitgegeven waarin getroffen gebruikers worden geadviseerd alert te zijn op phishingpogingen. Functionarissen waarschuwden dat blootgestelde contactgegevens gebruikt kunnen worden voor frauduleuze oproepen of berichten. Cybersecurityspecialisten merkten op dat gegevens zoals namen, adressen en telefoonnummers de effectiviteit van gerichte oplichting kunnen vergroten, zelfs zonder financiële informatie.
Regelgevende instanties beoordelen of het bedrijf heeft voldaan aan de regels voor gegevensbeheer en melding. Functionarissen zeiden dat mogelijke administratieve sancties afhangen van de uitkomst van het onderzoek en de omvang van eventuele vastgestelde fouten. Juridische analisten merkten op dat grootschalige datalekken in het land eerder hebben geleid tot aanzienlijke boetes en verplichte corrigerende maatregelen.
De publieke reactie richt zich op de duur van de ongeoorloofde toegang en de kloof tussen de eerste en definitieve schattingen. Commentatoren in de nationale media vroegen zich af hoe lang het lek onopgemerkt bleef en of interne toezichtsmaatregelen adequaat waren. Consumentengroepen hebben opgeroepen tot duidelijkere communicatie van bedrijven die grote hoeveelheden persoonlijke informatie verwerken en strengere handhaving van gegevensbeschermingsnormen.
De autoriteiten zeiden dat het onderzoek zal doorgaan totdat de volledige volgorde van gebeurtenissen is vastgesteld. Coupang verklaarde dat het indien nodig verdere waarborgen zal treffen en updates zal geven naarmate het onderzoek vordert.