Nach Darstellung der Personal Information Protection Commission (PIPC) ist es bei Coupang durch Defizite in den grundlegenden Sicherheitsmaßnahmen zu einem der schwersten Datenschutzvorfälle in Südkoreas Geschichte gekommen. Die Behörde erklärte, die Daten von rund 37,55 Millionen Menschen seien wegen unzureichender Basis-Sicherheitsvorkehrungen offengelegt worden, darunter Nachlässigkeit bei der Verwaltung von Signaturschlüsseln zur Authentifizierung und bei Zugriffskontrollen.

Für diese Verstöße sowie für die Erhebung personenbezogener Daten ohne gesetzliche Grundlage verhängte die PIPC gegen Coupang eine Geldbuße von 624,681 Milliarden Won und zusätzlich ein Bußgeld von 16,8 Millionen Won. Hinzu kommen Korrekturanordnungen sowie Anordnungen zur Bekanntmachung und Veröffentlichung. Die Tochter Coupang Fulfillment Service muss laut Behörde 248 Millionen Won zahlen, weil sie personenbezogene und sensible Kundendaten rechtswidrig gesammelt, verwendet und verarbeitet habe.

Die Ermittler stellten außerdem Verstöße gegen Anforderungen zur Datenvernichtung und zur Meldung von Datenlecks fest. Ebenfalls wirft die PIPC dem Unternehmen vor, die Unabhängigkeit des Datenschutzbeauftragten beeinträchtigt und die Untersuchung behindert zu haben.

Coupang ist ein US-Onlinehändler mit Geschäft in Südkorea, beschäftigt 95.000 Menschen und meldete einen Jahresumsatz von mehr als 30 Milliarden US-Dollar. Das Unternehmen hatte Ende Dezember angekündigt, 1,685 Billionen Won, umgerechnet etwa 1,17 Milliarden US-Dollar, zu zahlen und ab Januar 2026 Einmal-Kaufgutscheine im Gesamtwert von 50.000 Won, rund 34 US-Dollar, pro Kunde an mehr als 33 Millionen betroffene Kunden auszugeben.

Der Vorfall ereignete sich Ende Juni, wurde aber laut Bericht erst Mitte November entdeckt. Damals warnte Coupang, dass 33,7 Millionen Konten kompromittiert worden seien. Nach Angaben südkoreanischer Behörden, die die Ermittlungen übernahmen, gilt ein 43-jähriger chinesischer Staatsangehöriger als Hauptverdächtiger. Er arbeitete zwischen 2022 und 2024 in der IT-Abteilung von Coupang.

Coupang teilte später mit, der frühere Mitarbeiter habe mehrere Festplatten mit sensiblen Daten zurückgegeben. Der Verdächtige habe außerdem versucht, Beweismittel zu vernichten, indem er ein MacBook Air in einen Fluss warf; das Gerät sei jedoch geborgen worden. Weiter erklärte das Unternehmen, der Mann habe Nutzerdaten von etwa 3.000 Konten behalten, obwohl er auf Millionen Konten zugegriffen habe. Diese Daten seien von allen Geräten gelöscht und nicht an Dritte weitergegeben worden.

Im selben Text wird auch ein weiterer großer Vorfall in Südkorea erwähnt: SK Telecom, der größte Mobilfunkanbieter des Landes, warnte Kunden im April, dass sensible USIM-Daten offengelegt worden seien, nachdem das Netz mit Malware infiziert worden war. Später teilte das Unternehmen mit, die Malware sei erstmals im Juni 2022 auf den Systemen platziert worden; betroffen seien insgesamt 27 Millionen Teilnehmer gewesen, also nahezu der gesamte Kundenstamm von SK Telecom.