La Corée du Sud enjoint Coupang de corriger ses failles de sécurité sous peine de sanctions

La Corée du Sud a demandé mardi à Coupang de combler d'urgence les failles de sécurité après qu'une enquête gouvernementale a établi un lien entre une importante fuite de données et des défaillances dans les systèmes d'authentification des utilisateurs de l'entreprise.

de Corée du Sud pires violations de données, ce qui a accru les tensions commerciales avec les États-Unis après que des responsables à Washington ont exprimé leur inquiétude quant au traitement réservé aux entreprises technologiques américaines.

Ces révélations exercent une pression accrue sur le géant du e-commerce, les autorités de régulation examinant de près la manière dont les données personnelles ont été protégées et déclarées. Parallèlement, la police et l'autorité de protection des données poursuivent leurs enquêtes sur cette affaire.

La sondedentles échecs d'authentification

Le ministère des Sciences et des TIC a indiqué début janvier 2025 qu'une personne tentait d'accéder sans autorisation aux systèmes de Coupang en exploitant des failles de sécurité liées à l'authentification. Les enquêteurs ont constaté que cet incident s'était produit avant toute divulgation publique d'une intrusion.

« L’attaquant a exploité des failles dans l’authentification des utilisateurs pour accéder à leurs comptes sans identifiants valides et a provoqué des fuites d’informations non autorisées à grande échelle », a déclaré le ministère.

réussi à obtenir un accès non autorisé aux comptes des utilisateurs en exploitant les vulnérabilités du processus d'authentification, ce qui a entraîné la violation des confidentiellesdentinformations d'environ 33,7 millions de clients.

Le ministère a déterminé que la fuite de données faisait suite à l'utilisation abusive de la clé de signature de sécurité d'un employé interne dans le but de générer des jetons d'authentification contrefaits par un employé qui a quitté l'entreprise en novembre 2024.

Le rapport indique que le membre du personnel avait conçu et développé des éléments du système de vérification des utilisateurs de Coupang, et que l'entreprise n'avait pas assuré un niveau de protection suffisant pour empêcher cet employé d'accéder aux donnéesdentdes comptes clients.

« Le système de vérification des cartes d’accèstroncontrefaites ou modifiées était inadéquat, ce qui rendait difficile la détection ou le blocage préalable des attaques », a déclaré le ministère.

En décembre 2025, Coupang a confirmé qu'elle indemniserait les clients touchés par une récente fuite de données, en promettant plus de 1,17 milliard de dollars en bons d'achat. L'entreprise a souligné que la fuite n'avait concerné que les noms, adresses électroniques, certains historiques de commandes et adresses postales des clients, et non leurs informations de paiement et de connexion.

Les autorités réglementaires exigent des mises à niveau du système Coupang

Les autorités ont ordonné à Coupang de mettre en œuvre une technologie avancée permettant la détection et le blocage des cartes d'accèstronreçues en dehors du processus d'émission standard.

« Le ministère de l’Intérieur et de la Sécurité a ordonné à Coupang d’installer des outils de détection et de blocage des cartes d’accèstronqui n’ont pas été délivrées selon la procédure habituelle », a déclaré le ministère.

La police et l'Autorité de protection des données personnelles ont mené leurs enquêtesdent sur l'dentprésumé.

Le ministère de l'Intérieur a également accusé Coupang d'avoir enfreint la législation sur la protection des réseaux informatiques en ne signalant pas l'dent dans le délai imparti de 24 heures. L'autorité de régulation a affirmé que l'entreprise avait connaissance de l'intrusion le 17 novembre, mais qu'elle n'avait rien signalé avant le 19 novembre.

Le ministère examine actuellement l'opportunité d'infliger une amende administrative pouvant atteindre 30 millions de wons (20 596 dollars). Il a transmis l'allégation de destruction de données à la division compétente pour examen. Coupang n'a fait aucune déclaration publique concernant les conclusions de l'enquête.