Güney Koreli düzenleyiciler, on milyonlarca müşterinin kişisel bilgilerini ortaya çıkaran veri ihlali ve şirketin kullanıcı verilerini ele alma sürecine ilişkin soruşturmanın ardından e-ticaret devi Coupang’a rekor 624,6 milyar won (409 milyon dolar) ceza uyguladı.
Kişisel Bilgi Koruma Komisyonu (PIPC) tarafından açıklanan yaptırım, Güney Kore’de şimdiye kadar çıkarılan en büyük gizlilikle ilgili cezadır. Düzenleyiciler, davanın hem büyük bir müşteri veri sızıntısını hem de kullanıcılardan yasa dışı çevrimiçi etkinlik verilerinin toplanmasını içerdiğini söyledi.
PIPC’ye göre, ihlali 33 milyondan fazla müşteri etkiledi. Diğer raporlar ise etkilenen bireylerin sayısını 37,6 milyon olarak gösteriyor ve bu durum ülke tarihindeki en büyük veri maruziyeti olaylarından biri oluyor. Soruşturmacılar, şirketin sorunu tespit etmesinden önce müşteri bilgilerinin uzun süre erişilebilir olduğunu söyledi.
Düzenleyici, olayın yetersiz iç güvenlik kontrollerinden kaynaklandığını, gelişmiş bir dış saldırıdan ziyade olduğunu sonucuna vardı. Yetkililer, eski bir çalışanın şirketten ayrıldıktan sonra bile müşteri bilgilerine yetkisiz erişim sağlayan bir güvenlik anahtarına erişimini korudu. Soruşturmacılar ayrıca şirketin olağan dışı faaliyetleri zamanında tespit edemediğini ve Güney Kore yasalarının gerektirdiği raporlama süresi içinde ihlali tespit etmediğini tespit etti.
İhlalin ötesinde, komisyon Coupang’ın yaklaşık 11 milyon kullanıcının çevrimiçi faaliyetleri hakkında uygun onay almadan pazarlama sistemleri aracılığıyla yasa dışı olarak bilgi topladığını söyledi. Bu bulgu, genel cezaya önemli ölçüde katkıda bulundu.
Güney Kore yetkilileri, daha önce isimler, telefon numaraları, e-posta adresleri, teslimat bilgileri ve diğer hesapla ilgili veriler gibi müşteri bilgilerini içeren bilgilerin ortaya çıktığını daha önce açıklamıştı. Bu yılın başlarında hükümet destekli bir soruşturma, 33,6 milyondan fazla hesabın açığa çıkarıldığını ortaya koydu.
Coupang, düzenleyicinin açıklamasının ardından özür diledi ancak kararın bazı yönlerini eleştirdi. Şirket, ihlal sonrası daha fazla zararı önleme çabalarının komisyonun bulgularında yeterince yansıtılmadığını ve karara itiraz edebileceğini belirtti.
Düzenleyici hesaplamalara göre, ceza Coupang’ın 2025 gelirinin yaklaşık %1,4’ünü oluşturuyor. PIPC, bu vakanın büyük hacimli müşteri verisi işlemleriyle uğraşan şirketlerin operasyonlarının ölçeğine uygun güvenlik ve izleme sistemlerini korumaları gerektiğini gösterdiğini belirtti.