A investigação da **PIPC** revelou que as informações pessoais de aproximadamente 37,55 milhões de indivíduos foram comprometidas devido a práticas de segurança inadequadas. Essas deficiências incluíram negligência no gerenciamento de chaves de autenticação e controles de acesso insuficientes. **Coupang Fulfillment Service**, uma subsidiária, também foi multada em 248 milhões de won pela coleta, uso e manuseio ilegais de dados sensíveis de clientes. Além das falhas de segurança, a **PIPC** citou a **Coupang** por violações relacionadas a requisitos de destruição de dados e notificação de vazamentos. O órgão regulador também encontrou evidências de interferência na independência do oficial de proteção de dados da **Coupang** e obstrução da investigação em andamento. "As informações pessoais de aproximadamente 37,55 milhões de pessoas vazaram devido a um sistema de gerenciamento de segurança básico insuficiente, incluindo negligência no gerenciamento de chaves de assinatura de autenticação e controle de acesso", declarou a **PIPC**. "Em relação à violação das obrigações de medidas de segurança e à coleta de informações pessoais sem base legal pela **Coupang**, foram impostas multas de 624,681 bilhões de won e 16,8 milhões de won, bem como ordens corretivas, anúncios e ordens de publicação." A **Coupang**, uma empresa americana de varejo online com operações significativas na Coreia do Sul, emprega 95.000 pessoas e registra receitas anuais superiores a US$ 30 bilhões. ### Esforços de Compensação em Andamento No final de dezembro, a **Coupang** anunciou planos para alocar 1,685 trilhão de won (aproximadamente US$ 1,17 bilhão) para compensação de clientes. Essa iniciativa prevê a distribuição de vales de compra de uso único, cada um no valor de 50.000 won (cerca de US$ 34), para mais de 33 milhões de clientes afetados a partir de janeiro de 2026. ### Descoberta da Violação e Detalhes do Suspeito Este incidente, uma das violações de dados mais significativas na história da Coreia do Sul, ocorreu no final de junho, mas permaneceu indetectado até meados de novembro. Foi então que a **Coupang** divulgou que 33,7 milhões de contas haviam sido comprometidas. As autoridades sul-coreanas, que assumiram a investigação, identificaram um cidadão chinês de 43 anos como o principal suspeito. Este indivíduo, um ex-funcionário do departamento de TI da **Coupang** entre 2022 e 2024, é considerado o responsável pela violação. A **Coupang** relatou posteriormente que o ex-funcionário devolveu vários discos rígidos contendo dados sensíveis. O suspeito também tentou destruir evidências descartando um laptop **MacBook Air** em um rio, embora o dispositivo tenha sido posteriormente recuperado. A empresa acrescentou que, embora o suspeito tenha acessado milhões de contas, ele teria retido os dados de aproximadamente 3.000 contas, que desde então foram excluídos de todos os dispositivos e não foram transferidos para terceiros. ### Cenário Mais Amplo de Incidentes de Cibersegurança na Coreia Este incidente segue outro evento de segurança significativo na Coreia do Sul. Em abril, a **SK Telecom**, a maior operadora de rede móvel do país, alertou os clientes que dados sensíveis de **USIM** haviam sido expostos devido a um ataque de malware em sua rede. A empresa divulgou posteriormente que o malware estava presente em seus sistemas desde junho de 2022, impactando, em última análise, 27 milhões de assinantes – quase toda a sua base de clientes.