Südkorea fordert Coupang auf, Sicherheitslücken zu schließen, andernfalls drohen Strafen

Südkorea hat Coupang am Dienstag aufgefordert, dringend Sicherheitslücken zu schließen, nachdem eine staatliche Untersuchung einen schwerwiegenden Datenverstoß mit Fehlern in den Benutzerauthentifizierungssystemen des Unternehmens in Verbindung gebracht hatte.

in Südkorea schlimmsten Datenlecks, was die Handelskonflikte mit den USA verschärfte, nachdem Beamte in Washington ihre Besorgnis über die Behandlung US-amerikanischer Technologieunternehmen geäußert hatten.

Die Ergebnisse setzen den E-Commerce-Riesen nun erneut unter Druck, da die Aufsichtsbehörden die Art und Weise des Schutzes und der Meldung personenbezogener Daten genau prüfen. Gleichzeitig führen Polizei und Datenschutzbehörde weiterhin Ermittlungen in dieser Angelegenheit durch.

Die SondedentAuthentifizierungsfehler

Das Ministerium für Wissenschaft und IKT teilte Anfang Januar 2025 mit, dass eine Person versucht habe, sich unbefugten Zugang zu den Systemen von Coupang zu verschaffen, indem sie Sicherheitslücken im Zusammenhang mit der Authentifizierung ausnutzte. Die Ermittler stellten fest, dass dies geschah, bevor ein Sicherheitsvorfall öffentlich bekannt wurde.

„Der Angreifer nutzte Schwachstellen in der Benutzerauthentifizierung aus, um ohne ordnungsgemäße Anmeldung auf Benutzerkonten zuzugreifen und verursachte so einen groß angelegten, unautorisierten Datenverlust“, so das Ministerium.

Sie konnten feststellen, dass die Person sich durch Ausnutzung von Schwachstellen im Authentifizierungsprozess unbefugten Zugriff auf Benutzerkonten verschafft hat, was zum Verlust Informationendentvon etwa 33,7 Millionen Kunden führte.

Das Ministerium stellte fest, dass die Datenschutzverletzung auf den Missbrauch des Sicherheitssignaturschlüssels eines internen Mitarbeiters zurückzuführen war. Dieser Mitarbeiter hatte den Arbeitsplatz im November 2024 verlassen und gefälschte Authentifizierungstoken generiert.

Darin hieß es, der Mitarbeiter habe Teile der Benutzerverifizierung von Coupang entworfen und entwickelt, und das Unternehmen habe es versäumt, einen ausreichenden Schutz dafür zu gewährleisten, dass dieser Mitarbeiter keinen Zugriff auf diedentKontodaten dieser Kunden erlangen konnte.

„Das Überprüfungssystem für gefälschte oder verändertetronZugangskarten war unzureichend, was es schwierig machte, die Angriffe im Voraus zu erkennen oder zu verhindern“, so das Ministerium.

Im Dezember 2025bestätigte Coupang, dass das Unternehmen Kunden, die von einem kürzlich erfolgten Datenleck betroffen waren, entschädigen und Gutscheine im Wert von über 1,17 Milliarden US-Dollar bereitstellen wird. Coupang betonte, dass das Datenleck lediglich Kundennamen, E-Mail-Adressen, Teile der Bestellhistorie und Wohnadressen betraf, nicht jedoch Zahlungs- und Anmeldedaten.

Die Regulierungsbehörden fordern Modernisierungen des Coupang-Systems

Die Behörden haben Coupang angewiesen, eine fortschrittliche Technologie einzuführen, die die Erkennung und Sperrung vontronZugangskarten ermöglicht, die außerhalb des regulären Ausstellungsverfahrens eingegangen sind.

„Das Ministerium für Inneres und Sicherheit hat Coupang angewiesen, Erkennungs- und Sperrmechanismen fürtronZugangskarten zu installieren, die nicht im Rahmen des regulären Ausstellungsverfahrens ausgestellt wurden“, so das Ministerium.

Die Polizei und die Datenschutzbehörde habendent Ermittlungen zu dem mutmaßlichendentaufgenommen.

Das Innenministerium warf Coupang zudem vor, gegen Informationsnetzwerkgesetze verstoßen zu haben, indem das Unternehmen dendent nicht innerhalb der vorgeschriebenen 24-Stunden-Frist gemeldet hatte. Die Aufsichtsbehörde behauptete, das Unternehmen habe bereits am 17. November von dem Eindringen erfahren, es habe jedoch erst am 19. November Anzeige erstattet.

Das Ministerium prüft derzeit, ob eine Verwaltungsstrafe von bis zu 30 Millionen Won (20.596 US-Dollar) verhängt werden soll. Die Anzeige wegen Datenmanipulation wurde zur Überprüfung an die zuständige Abteilung weitergeleitet. Coupang hat sich bisher nicht öffentlich zum Ergebnis der Untersuchung geäußert.