Zuid-Koreaanse toezichthouders hebben een recordboete van 624,6 miljard won ($409 miljoen) opgelegd aan e-commercegigant Coupang na een datalek waarbij de persoonlijke informatie van tientallen miljoenen klanten werd blootgelegd en een onderzoek naar de omgang van gebruikersgegevens door het bedrijf.
De sanctie, aangekondigd door de Personal Information Protection Commission (PIPC), is de grootste privacygerelateerde boete ooit opgelegd in Zuid-Korea. Toezichthouders zeiden dat de zaak zowel een grote lekkage van klantgegevens als het onwettig verzamelen van online activiteitengegevens van gebruikers betrof.
Volgens de PIPC werden meer dan 33 miljoen klanten getroffen door het datalek. Andere rapporten schatten het aantal getroffen personen op 37,6 miljoen, waarmee het een van de grootste incidenten met datablootstelling in de geschiedenis van het land is. Onderzoekers zeiden dat klantinformatie gedurende een langere periode toegankelijk was voordat het bedrijf het probleem ontdekte.
De toezichthouder concludeerde dat het incident het gevolg was van onvoldoende interne beveiligingsmaatregelen en niet van een geavanceerde externe aanval. Functionarissen zeiden dat een voormalige medewerker toegang behield tot een beveiligingssleutel die ongeautoriseerde toegang tot klantinformatie mogelijk maakte, zelfs nadat hij het bedrijf had verlaten. Onderzoekers ontdekten ook dat het bedrijf er niet in slaagde om ongebruikelijke activiteiten snel te identificeren en de inbreuk niet binnen de rapportagetermijn ontdekte die vereist is volgens de Zuid-Koreaanse wet.
Naast de inbreuk zelf zei de commissie dat Coupang illegaal informatie verzamelde over de online activiteiten van ongeveer 11 miljoen gebruikers via haar marketingsystemen zonder de juiste toestemming te verkrijgen. Die bevinding droeg aanzienlijk bij aan de totale straf.
Zuid-Koreaanse autoriteiten hebben eerder bekendgemaakt dat blootgestelde informatie klantgegevens omvatte, zoals namen, telefoonnummers, e-mailadressen, bezorginformatie en andere accountgerelateerde gegevens. Een door de overheid gesteund onderzoek eerder dit jaar concludeerde dat meer dan 33,6 miljoen accounts waren blootgesteld.
Coupang bood zijn excuses aan na de aankondiging van de toeziener, maar bekritiseerde aspecten van het besluit. Het bedrijf zei dat zijn inspanningen om verdere schade na de inbreuk te voorkomen niet adequaat werden weerspiegeld in de bevindingen van de commissie en gaf aan mogelijk de uitspraak aan te vechten.
De boete bedraagt ongeveer 1,4% van de omzet van Coupang in 2025, volgens regelgevende berekeningen. De PIPC zei dat de zaak aantoonde dat bedrijven die grote hoeveelheden klantgegevens verwerken, beveiligings- en monitoringsystemen moeten onderhouden die passen bij de schaal van hun activiteiten.