Martedì la Corea del Sud ha intimato a Coupang di chiudere urgentemente le falle nella sicurezza dopo che un'indagine governativa ha collegato una grave violazione dei dati a guasti nei sistemi di autenticazione degli utenti dell'azienda.
Coupang ha subito una delle peggiori violazioni di dati in Corea del Sud, e questo ha aumentato le tensioni commerciali con gli Stati Uniti dopo che i funzionari di Washington hanno espresso preoccupazione per il trattamento riservato alle aziende tecnologiche statunitensi.
Ora, i risultati mettono nuovamente sotto pressione il gigante dell'e-commerce, mentre le autorità di regolamentazione stanno esaminando attentamente le modalità di protezione e segnalazione dei dati personali. Questo avviene anche mentre sia la polizia che l'autorità nazionale per la protezione dei dati continuano le indagini sulla questione.
La sonda identifica gli errori di autenticazione
Il Ministero della Scienza e delle ICT ha dichiarato all'inizio di gennaio 2025 che un individuo stava tentando di ottenere l'accesso non autorizzato ai sistemi di Coupang sfruttando problemi di usabilità relativi all'autenticazione. Gli investigatori hanno notato che ciò è avvenuto prima che qualsiasi indicazione di una violazione fosse resa pubblica.
"L'aggressore ha sfruttato le vulnerabilità di autenticazione degli utenti per accedere agli account utente senza un login appropriato e ha causato perdite di informazioni non autorizzate su larga scala", ha affermato il ministero.
Sono riusciti a stabilire che l'individuo è riuscito a ottenere l'accesso non autorizzato agli account degli utenti sfruttando le vulnerabilità nel processo di autenticazione, il che ha portato alla violazione delle informazioni riservate di circa 33,7 milioni di clienti.
Il Ministero ha stabilito che la violazione dei dati è avvenuta in seguito all'uso improprio della chiave di firma di sicurezza di un dipendente interno, allo scopo di generare token di autenticazione contraffatti, da parte di un dipendente che si è dimesso nel novembre 2024.
Ha affermato che il membro dello staff aveva progettato e sviluppato parti della verifica degli utenti di Coupang e che l'azienda non è riuscita a fornire un livello di protezione tale da impedire a questo dipendente di ottenere l'accesso ai dati riservati degli account di questi clienti.
"Il sistema di verifica delle carte di accesso elettroniche contraffatte o alterate era inadeguato, rendendo difficile rilevare o bloccare in anticipo gli attacchi", ha affermato il ministero.
Nel dicembre 2025 , Coupang ha confermato che risarcirà i clienti colpiti da una recente violazione dei dati degli utenti, impegnandosi a erogare oltre 1,17 miliardi di dollari in buoni. L'azienda ha sottolineato che la violazione ha interessato solo i nomi dei clienti, gli indirizzi email, alcune cronologie degli ordini e gli indirizzi di casa, non i dati di pagamento e di accesso.
I regolatori chiedono aggiornamenti al sistema Coupang
Le autorità hanno ordinato a Coupang di implementare una tecnologia avanzata che consenta di rilevare e bloccare le tessere di accesso elettroniche ricevute al di fuori del normale processo di emissione.
"Il Ministero degli Interni e della Sicurezza ha ordinato a Coupang di installare strumenti di rilevamento e blocco per le carte di accesso elettroniche che non sono state emesse tramite la normale procedura di emissione", ha affermato il Ministero.
La polizia e l'Autorità per la protezione dei dati personali hanno avviato indagini indipendenti sul presunto incidente.
Il Ministero dell'Interno ha inoltre accusato Coupang di aver violato le leggi sulle reti informatiche non segnalando l'incidente entro il termine di 24 ore previsto. L'organismo di regolamentazione ha affermato che l'azienda era a conoscenza dell'intrusione il 17 novembre, ma non ha segnalato nulla fino al 19 novembre.
Il Ministero sta attualmente valutando se imporre una sanzione amministrativa fino a 30 milioni di won (20.596 dollari). Il Ministero ha deferito l'accusa di furto di dati alla divisione competente per l'esame. Coupang non ha rilasciato dichiarazioni pubbliche in merito all'esito dell'indagine.
Iscriviti gratuitamente per 30 giorni a una community premium di trading di criptovalute , normalmente al costo di 100 $ al mese.