Die Datenpanne war im November öffentlich geworden, als Coupang mitteilte, dass rund 33,7 Millionen Kundenkonten betroffen seien. Die Untersuchung der PIPC bestätigte 33.222.472 betroffene registrierte Mitglieder. Zusätzlich identifizierte die Behörde eine Gruppe, die das Unternehmen zuvor nicht offengelegt hatte: mindestens 4.338.368 Nicht-Mitglieder, deren Namen, Telefonnummern und Adressen von anderen Kunden als Lieferempfänger gespeichert worden waren. Nach Angaben der Aufsicht hatten diese Betroffenen keinerlei Möglichkeit zu wissen, dass ihre Daten bei Coupang gespeichert waren.
Die PIPC erklärte, sie habe das Unternehmen im Dezember 2025 und Januar 2026 insgesamt viermal formell aufgefordert, diese Nicht-Mitglieder zu benachrichtigen. Coupang sei dem jedes Mal nicht nachgekommen.
Als Täter nennt der Bericht einen namentlich nicht genannten chinesischen Staatsangehörigen und ehemaligen Mitarbeiter, der das Unternehmen Ende 2024 verlassen hatte. Er hatte laut PIPC während seiner Beschäftigung das alternative Authentifizierungssystem von Coupang mitentwickelt und vor seinem Ausscheiden den dazugehörigen Signaturschlüssel entwendet. Im Januar 2025 startete er demnach einen Testlauf mit 95 Konten. Ab April rief er über zwei Monate hinweg etwa 148 Millionen Mal die Seite für Lieferadressen auf, indem er systematisch Mitglieds-ID-Nummern durchprobierte, um Namen, Telefonnummern und Adressen zu sammeln.
Anschließend griff er laut Behörde zwischen Juni und Oktober fast 35 Millionen Mal auf die Seite zur Bearbeitung von Kontodaten zu, um Namen und E-Mail-Adressen zu erfassen. In einer letzten Phase kamen demnach Zugangscodes für Wohnanlagen und Bestellhistorien hinzu. Später setzte der Ex-Mitarbeiter die Daten zu einzelnen Kundenprofilen zusammen und verschickte zwei Erpressungs-E-Mails: eine an Mitglieder direkt und eine an Coupang. In der zweiten Nachricht behauptete er, über 120 Millionen Adressen, 560 Millionen Bestelldatensätze und mehr als 33 Millionen E-Mail-Adressen zu verfügen; beigefügte Beispieldaten enthielten laut Bericht auch sensible Kaufhistorien.
Die PIPC stellte fest, dass der Datenverkehr auf den betroffenen Seiten während des sieben Monate dauernden Angriffs auf ein Vielfaches des Normalwerts angestiegen war. Zudem seien zig Millionen Zugriffsversuche mit nicht existierenden Mitglieds-IDs erfolgt. Entdeckt habe Coupang davon nichts, bis ein Kunde eine der Erpressungs-E-Mails weiterleitete.
Wegen der Vernichtung von Beweismitteln leitete die Kommission eine Strafanzeige gegen Coupang ein. Die Aufsicht hatte am 21. November, einen Tag nach der ersten Meldung des Vorfalls durch Coupang, die Sicherung der Zugriffsprotokolle angeordnet. Sechs Tage später habe das Unternehmen jedoch manuell rund sechs Monate Web-Zugriffsprotokolle gelöscht. Außerdem setzte Coupang die automatische Löschung von Protokollen nach sechs Monaten nicht aus, sodass weitere Datensätze verloren gingen. Nach Angaben der Behörde gingen dadurch etwa 13 Prozent der Protokolle aus dem Angriffszeitraum verloren, was die vollständige Identifizierung aller Betroffenen unmöglich machte.
Zusätzlich weitete die PIPC ihre Untersuchung im Januar 2026 nach Parlamentsanhörungen und Medienberichten aus und stieß auf weitere Verstöße. Über das Affiliate-Programm „Coupang Partners“ habe das Unternehmen ohne Einwilligung die Browser-Aktivitäten von rund 11,2 Millionen Nutzern erfasst, darunter besuchte Adressen, App-Namen, Zeitstempel, IP-Adressen und Gerätekennungen, und diese Daten mit einzelnen Mitgliedskonten verknüpft. Coupang habe argumentiert, es handle sich nicht um personenbezogene Daten; die Behörde widersprach und verhängte allein dafür eine weitere Geldbuße von 201,1 Milliarden Won. Nach Konfrontation durch die Ermittler löschte Coupang die Datensätze im April 2026.
Die Untersuchung ergab ferner, dass einige Werbepartner in demselben Programm sogenannte Umleitungsanzeigen einsetzten, die Nutzer ohne deren Einwilligung zu Coupang weiterleiteten. Teilweise sei dazu ein transparenter Button über den Bildschirm gelegt worden, sodass jeder Klick eine Weiterleitung auslöste. Laut PIPC wusste Coupang seit 2022 von dieser Praxis, sperrte Partner trotz eigener Schwellenwerte für eine Entfernung aber nicht und zahlte in manchen Fällen nach dem Auffliegen sogar höhere Provisionen.
Auch die Logistiktochter Coupang Fulfillment Services geriet ins Visier. Nach Angaben der Kommission setzte sie heimlich 71 Journalisten des Polizeipressekorps, die nie in einem Coupang-Lager gearbeitet hatten, auf eine interne Beschäftigungs-Sperrliste und begründete das mit der „Verbreitung falscher Informationen“. Zudem habe die Tochterfirma Gewichtsdaten von Beschäftigten, die zu Gesundheitszwecken erhoben worden waren, ohne gesonderte Rechtsgrundlage als Beweismittel in einem Prozess zu einem Arbeitsunfall eingereicht.
Die PIPC beanstandete außerdem Coupangs interne Untersuchung des Täters im Dezember 2025. Dabei sei der unternehmenseigene Datenschutzbeauftragte vollständig außen vor geblieben. Die Aufsicht wertete das nicht als bloßes Kommunikationsproblem, sondern als Verstoß gegen die gesetzlich vorgeschriebene Unabhängigkeit dieser Funktion. Der amtierende CEO Harold Rogers, der im Januar von der Polizei als Verdächtiger in einer Untersuchung wegen möglicher Behinderung befragt wurde, hatte den Behörden volle Kooperation zugesagt. Coupang erklärte, man bedauere die Entscheidung der PIPC und behalte sich nach Erhalt der schriftlichen Begründung rechtliche Schritte vor.