A empresa de tecnologia e varejo online Coupang confirmou que uma grande violação de dados expôs informações pessoais de 33,7 milhões de contas de clientes. A empresa afirmou que descobriu o incidente em 18 de novembro de 2025 e notificou a Comissão de Proteção de Informações Pessoais, a polícia e a agência nacional de cibersegurança. De acordo com declarações da empresa, as informações expostas incluíam nomes, endereços de e-mail, números de telefone, endereços de envio e alguns históricos de pedidos. Coupang disse que os dados de pagamento e credenciais de login não foram acessados.
Os reguladores foram informados de que o acesso não autorizado provavelmente começou em 24 de junho de 2025, por meio de servidores localizados no exterior. Os investigadores relataram que a atividade continuou por vários meses antes de ser detectada. As autoridades disseram que estão examinando registros do sistema, pontos de acesso externos e possíveis fraquezas que podem ter permitido a ocorrência da violação. Eles também estão rastreando endereços IP relacionados ao incidente e revisando se os requisitos de proteção de dados foram cumpridos.
Autoridades policiais informaram que um ex-funcionário está sob investigação em conexão com a violação. Segundo as autoridades, o indivíduo é suspeito de envolvimento no acesso não autorizado e pode ter usado infraestrutura estrangeira para ocultar atividades. Os investigadores não divulgaram mais detalhes enquanto a investigação continua.
Coupang reconheceu que sua análise inicial subestimou a dimensão da violação. Avaliações iniciais sugeriram que apenas alguns milhares de usuários foram afetados. A estimativa confirmada agora cobre quase toda a base de clientes coreana. Registros públicos mostram que a empresa registrou 24,7 milhões de clientes ativos no terceiro trimestre de 2025, e o número final de contas expostas supera significativamente esse número porque inclui também contas inativas.
A empresa bloqueou a rota de acesso após detectar a violação e introduziu medidas adicionais de monitoramento. Seu diretor executivo emitiu um pedido público de desculpas e disse que a empresa está trabalhando com as autoridades para apoiar a investigação e fortalecer os controles quando necessário. Coupang informou aos usuários que eles devem ficar atentos a atividades incomuns e relatar mensagens suspeitas.
Órgãos governamentais divulgaram orientações públicas orientando os usuários afetados a ficarem atentos a tentativas de phishing. Autoridades alertaram que informações de contato expostas podem ser usadas para ligações ou mensagens fraudulentas. Especialistas em cibersegurança observaram que dados como nomes, endereços e números de telefone podem aumentar a eficácia de golpes direcionados mesmo sem informações financeiras.
Órgãos reguladores estão revisando se a empresa cumpriu as regras de gestão e notificação de dados. Autoridades disseram que possíveis penalidades administrativas dependem do resultado da investigação e da extensão de quaisquer falhas identificadas. Analistas jurídicos observaram que violações de dados em larga escala no país já resultaram em multas significativas e medidas corretivas obrigatórias.
A reação pública tem se concentrado na duração do acesso não autorizado e na diferença entre as estimativas iniciais e finais. Comentaristas na mídia nacional questionaram por quanto tempo a violação passou despercebida e se as medidas internas de supervisão eram adequadas. Grupos de consumidores têm pedido uma comunicação mais clara das empresas que lidam com grandes volumes de informações pessoais e uma aplicação mais rigorosa dos padrões de proteção de dados.
As autoridades disseram que a investigação continuará até que a sequência completa dos eventos seja estabelecida. Coupang afirmou que aplicará salvaguardas adicionais conforme necessário e fornecerá atualizações à medida que a investigação avançar.