Die Untersuchung der **PIPC** ergab, dass die persönlichen Daten von rund 37,55 Millionen Personen aufgrund unzureichender Sicherheitspraktiken kompromittiert wurden. Zu diesen Mängeln gehörten fahrlässiges Management von Authentifizierungsschlüsseln und unzureichende Zugriffskontrollen. **Coupang Fulfillment Service**, eine Tochtergesellschaft, wurde ebenfalls mit einer Geldstrafe von 248 Millionen Won wegen der rechtswidrigen Sammlung, Nutzung und Verarbeitung sensibler Kundendaten belegt. Neben den Sicherheitsschwächen warf die **PIPC** **Coupang** Verstöße im Zusammenhang mit der Datenvernichtung und den Meldepflichten bei Datenlecks vor. Die Aufsichtsbehörde fand auch Beweise für eine Beeinträchtigung der Unabhängigkeit des Datenschutzbeauftragten von **Coupang** und eine Behinderung der laufenden Untersuchung. „Die persönlichen Daten von rund 37,55 Millionen Menschen wurden aufgrund eines unzureichenden grundlegenden Sicherheitsmanagementsystems, einschließlich Fahrlässigkeit bei der Verwaltung von Authentifizierungssignaturschlüsseln und Zugriffskontrollen, offengelegt“, erklärte die **PIPC**. „Hinsichtlich der Verletzung von Sicherheitspflichten durch **Coupang** und der Sammlung personenbezogener Daten ohne Rechtsgrundlage wurden eine Geldstrafe von 624,681 Milliarden Won und eine Geldstrafe von 16,8 Millionen Won verhängt, ebenso wie Korrektur-, Ankündigungs- und Veröffentlichungsanordnungen.“ **Coupang**, ein amerikanisches Online-Einzelhandelsunternehmen mit bedeutenden Aktivitäten in Südkorea, beschäftigt 95.000 Mitarbeiter und verzeichnete einen Jahresumsatz von über 30 Milliarden US-Dollar. ### Entschädigungsbemühungen im Gange Ende Dezember kündigte **Coupang** Pläne an, 1,685 Billionen Won (ca. 1,17 Milliarden US-Dollar) für Kundenentschädigungen bereitzustellen. Im Rahmen dieser Initiative werden über 33 Millionen betroffene Kunden ab Januar 2026 einmalig nutzbare Einkaufsgutscheine im Wert von jeweils 50.000 Won (ca. 34 US-Dollar) erhalten. ### Entdeckung der Panne und Details zum Verdächtigen Dieser Vorfall, eine der bedeutendsten Datenpannen in der Geschichte Südkoreas, ereignete sich Ende Juni, blieb aber bis Mitte November unentdeckt. Damals gab **Coupang** bekannt, dass 33,7 Millionen Konten kompromittiert worden seien. Die südkoreanischen Behörden, die die Ermittlungen übernommen haben, identifizierten einen 43-jährigen chinesischen Staatsbürger als Hauptverdächtigen. Dieser Mann, ein ehemaliger Mitarbeiter der IT-Abteilung von **Coupang** zwischen 2022 und 2024, wird für die Panne verantwortlich gemacht. **Coupang** berichtete später, dass der ehemalige Mitarbeiter mehrere Festplatten mit sensiblen Daten zurückgegeben habe. Der Verdächtige versuchte auch, Beweise zu vernichten, indem er einen **MacBook Air** Laptop in einem Fluss entsorgte, obwohl das Gerät später geborgen wurde. Das Unternehmen fügte hinzu, dass der Verdächtige zwar auf Millionen von Konten zugegriffen habe, aber angeblich Benutzerdaten für etwa 3.000 Konten gespeichert habe, die inzwischen von allen Geräten gelöscht und nicht an Dritte weitergegeben wurden. ### Breitere Landschaft koreanischer Cybersicherheitsvorfälle Dieser Vorfall folgt auf ein weiteres bedeutendes Sicherheitsereignis in Südkorea. Im April warnte **SK Telecom**, der größte Mobilfunkbetreiber des Landes, Kunden, dass sensible **USIM**-Daten aufgrund eines Malware-Angriffs auf sein Netzwerk offengelegt worden seien. Das Unternehmen gab später bekannt, dass die Malware seit Juni 2022 auf seinen Systemen vorhanden war und letztendlich 27 Millionen Abonnenten – fast die gesamte Kundenbasis – betroffen habe.