Na terça-feira, a Coreia do Sul ordenou à Coupang que corrigisse urgentemente as falhas de segurança, após uma investigação governamental ter relacionado uma grande violação de dados a falhas nos sistemas de autenticação de usuários da empresa.
piores violações de dados da Coreia do Sul , o que aumentou o atrito comercial com os EUA depois que autoridades em Washington expressaram preocupação com o tratamento dado às empresas de tecnologia americanas.
Agora, as descobertas aumentam a pressão sobre a gigante do comércio eletrônico, enquanto os órgãos reguladores examinam como os dados pessoais foram protegidos e relatados. Isso ocorre também enquanto a polícia e a agência de proteção de dados do país continuam investigando o caso.
A sondadentfalhas de autenticação
O Ministério da Ciência e das TIC afirmou, no início de janeiro de 2025, que um indivíduo estava tentando obter acesso não autorizado aos sistemas da Coupang, explorando falhas de usabilidade relacionadas à autenticação. Os investigadores observaram que isso ocorreu antes de qualquer indício público de violação de segurança.
“O invasor explorou vulnerabilidades na autenticação de usuários para acessar contas de usuários sem o devido login e causou vazamentos de informações não autorizados em larga escala”, afirmou o ministério.
Foi possível determinar que o indivíduo conseguiu obter acesso não autorizado às contas dos usuários por meio da exploração de vulnerabilidades no processo de autenticação, o que resultou na violação de dent de cerca de 33,7 milhões de clientes.
O ministério determinou que a violação de dados ocorreu após o uso indevido da chave de assinatura de segurança de um funcionário interno, com o objetivo de gerar tokens de autenticação falsificados. Esse funcionário deixou a empresa em novembro de 2024.
A empresa afirmou que o funcionário havia projetado e desenvolvido partes do sistema de verificação de usuários do Coupang e que a empresa não forneceu um nível de proteção adequado para impedir que esse funcionário obtivesse acesso aos dadosdentdas contas desses clientes.
“O sistema de verificação de cartões de acessotronfalsificados ou adulterados era inadequado, dificultando a detecção ou o bloqueio prévio dos ataques”, afirmou o ministério.
Em dezembro de 2025 , a Coupang confirmou que compensará os clientes afetados por uma recente violação de dados de usuários, prometendo mais de US$ 1,17 bilhão em vouchers. A empresa enfatizou que a violação afetou apenas nomes de clientes, endereços de e-mail, alguns históricos de pedidos e endereços residenciais, e não dados de pagamento e login.
Órgãos reguladores exigem atualizações no sistema Coupang
As autoridades ordenaram à Coupang que implemente tecnologia avançada que permita a detecção e o bloqueio de cartões de acessotronrecebidos fora do processo de emissão padrão.
“O Ministério do Interior e da Segurança ordenou à Coupang que instale ferramentas de detecção e bloqueio para cartões de acessotronque não foram emitidos pelo processo regular”, afirmou o ministério.
A polícia e a Autoridade de Proteção de Dados Pessoais realizaram investigaçõesdent sobre o alegadodent.
O Ministério do Interior também acusou a Coupang de violar as leis de redes de informação por não ter relatado odent dentro do prazo de 24 horas. O órgão regulador alegou que a empresa teve conhecimento da intrusão em 17 de novembro, mas só reportou o ocorrido em 19 de novembro.
O ministério está atualmente avaliando a possibilidade de aplicar uma multa administrativa de até 30 milhões de won (US$ 20.596). O ministério encaminhou a denúncia de destruição de dados à divisão competente para análise. A Coupang não se pronunciou publicamente sobre o resultado da investigação.
