Die **PIPC** gab ihre Entscheidung nach einer Plenarsitzung bekannt und kam zu dem Schluss, dass das Leck nicht das Ergebnis ausgeklügelter externer Hacking-Angriffe war, sondern auf "Mängel im grundlegenden Sicherheitsmanagement" bei **Coupang** und seiner Logistiktochter **Coupang Fulfillment Services** zurückzuführen sei. Diese Rekordstrafe übertrifft die bisherige Höchststrafe von 134,8 Milliarden Won (88,8 Millionen US-Dollar), die Anfang des Jahres gegen **SK Telecom** verhängt wurde, und unterstreicht die Schwere der Datenschutzversäumnisse von **Coupang**. ### Anatomie eines Lecks Das Leck, das erstmals im November bekannt wurde, betraf zunächst rund 33,7 Millionen Kundenkonten. Die Untersuchung der **PIPC** bestätigte, dass 33.222.472 registrierte Mitglieder betroffen waren. Entscheidend war auch die Identifizierung von mindestens 4.338.368 Nicht-Mitgliedern, deren Daten (Namen, Telefonnummern, Adressen) ohne deren Wissen oder Zustimmung als Empfänger von Lieferungen gespeichert wurden. **Coupang** versäumte es, diese betroffenen Nicht-Mitglieder zu benachrichtigen, obwohl die Aufsichtsbehörde im Dezember 2025 und Januar 2026 viermal formell dazu aufgefordert hatte. ### Interne Beteiligung und Datenexfiltration Als Täter wurde ein namentlich nicht genannter chinesischer Staatsbürger identifiziert, ein ehemaliger Mitarbeiter, der **Coupang** Ende 2024 verließ. Während seiner Anstellung entwickelte er das alternative Authentifizierungssystem von **Coupang** und stahl vor seinem Ausscheiden den zugrunde liegenden Signaturschlüssel. Sein Angriff begann im Januar 2025 mit einem Testlauf auf 95 Konten. Ab April sammelte er systematisch Daten und griff über zwei Monate hinweg rund 148 Millionen Mal auf die Lieferadressenseite von **Coupang** zu, um Namen, Telefonnummern und Adressen zu sammeln. Darauf folgten zwischen Juni und Oktober fast 35 Millionen Zugriffe auf die Kontobearbeitungsseite, um Namen und E-Mail-Adressen zu erfassen. Eine letzte Phase zielte auf Zugangscodes für Wohnungen und Bestellhistorien ab. Der ehemalige Mitarbeiter setzte die gestohlenen Daten später zu einzelnen Kundenprofilen zusammen und sandte Erpresser-E-Mails direkt an Mitglieder und **Coupang**, in denen er behauptete, 120 Millionen Adressen, 560 Millionen Bestellungen und über 33 Millionen E-Mail-Adressen zu besitzen, komplett mit sensiblen Kaufhistorien als Beispieldaten. ### Verpasste Warnungen und Beweismittelmanipulation Trotz des siebenmonatigen Angriffs, der erhebliche Verkehrsspitzen und Millionen von Zugriffsversuchen mit nicht existierenden Mitglieds-IDs generierte, blieb **Coupang** unwissend, bis ein Kunde eine Erpresser-E-Mail weiterleitete. Noch besorgniserregender ist, dass die **PIPC** **Coupang** wegen Beweismittelvernichtung zur Strafverfolgung überwiesen hat. Die Aufsichtsbehörden ordneten am 21. November, einen Tag nach der ersten Meldung des Lecks durch **Coupang**, die Aufbewahrung der Zugriffsprotokolle an. Sechs Tage später löschte das Unternehmen jedoch manuell rund sechs Monate an Webzugriffsprotokollen. Darüber hinaus versäumte es **Coupang**, seine routinemäßige Richtlinie zur automatischen Löschung von Protokollen nach sechs Monaten zu unterbrechen, was zum Verlust von etwa 13 % der Protokolle führte, die den Angriffszeitraum abdeckten, und die Identifizierung aller betroffenen Opfer behinderte. In einer dramatischen Wendung barg die Polizei separat ein mit Ziegeln beschwertes, zerbrochenes **MacBook Air** aus einem Fluss – ein offensichtlicher Versuch des mutmaßlichen Täters, Beweismittel zu vernichten. Forensische Teams von **Mandiant**, **Palo Alto Networks** und **Ernst & Young** dokumentierten erfolgreich dessen Inhalt, bevor es an die Behörden übergeben wurde. ### Weitere Verstöße aufgedeckt Eine erweiterte Untersuchung im Januar 2026, ausgelöst durch parlamentarische Anhörungen und Medienberichte, deckte mehrere weitere bedeutende Verstöße auf: * **Verdeckte Sammlung von Browserdaten:** Über sein Affiliate-Marketing-Programm "Coupang Partners" sammelte das Unternehmen heimlich die Browsing-Aktivitäten Dritter (URLs, App-Namen, Zeitstempel, IP-Adressen, Geräte-IDs) von rund 11,2 Millionen Nutzern ohne deren Zustimmung und verknüpfte diese Daten mit einzelnen Mitgliedskonten. **Coupang** argumentierte, dass es sich nicht um personenbezogene Daten handele, die Aufsichtsbehörde widersprach jedoch und verhängte für diesen Verstoß eine weitere Geldstrafe von 201,1 Milliarden Won (132 Millionen US-Dollar). Die Aufzeichnungen wurden im April 2026 gelöscht, nachdem die Ermittler das Unternehmen damit konfrontiert hatten. * **"Hijack Ads":** Einige Werbepartner im selben Programm schalteten "Hijack Ads", die Nutzer ohne Zustimmung zu **Coupang** umleiteten, manchmal durch Überlagerung transparenter Schaltflächen. **Coupang** war sich dessen seit 2022 bewusst, versäumte es jedoch, die säumigen Konten zu kündigen und zahlte in einigen Fällen höhere Provisionen an Partner, die bei dieser Praxis erwischt wurden. * **Journalisten-Blacklist:** **Coupang Fulfillment Services** setzte heimlich 71 Journalisten von Polizeipressekorps auf eine interne schwarze Liste für Beschäftigung, mit der Begründung "Verbreitung falscher Informationen", obwohl keiner von ihnen in einem **Coupang**-Lager gearbeitet hatte. Dies geschah ohne deren Wissen oder Zustimmung. * **Missbrauch von Gesundheitsdaten:** Die Logistiktochter legte auch das Gewicht von Mitarbeitern, das für das Gesundheitsmanagement gesammelt wurde, als Beweismittel in einem Rechtsstreit wegen Arbeitsunfällen ohne gesonderte Rechtsgrundlage vor. * **Kompromittierte Unabhängigkeit des CPO:** Während der internen Untersuchung des Hackers im Dezember 2025 schloss **Coupang** seinen Chief Privacy Officer (CPO) vollständig aus. Die Aufsichtsbehörden stuften dies als wesentliche Verletzung der gesetzlich vorgeschriebenen Unabhängigkeit des CPO ein. Der amtierende CEO von **Coupang**, **Harold Rogers**, der im Januar von der Polizei als Verdächtiger in einer Behinderungsermittlung befragt wurde, versprach volle Kooperation. Das Unternehmen hat jedoch sein Bedauern über die Entscheidung der **PIPC** zum Ausdruck gebracht und behält sich das Recht vor, diese rechtlich anzufechten. Streitbeilegungsverfahren mit über 2.500 Anspruchstellern sollen wieder aufgenommen werden, und eine Sammelklage in den Vereinigten Staaten bleibt anhängig. Die Aktien von **Coupang** sind seit Jahresbeginn um rund 35 % gefallen, und das Unternehmen steht weiterhin unter Beobachtung südkoreanischer Gesetzgeber.