La **PIPC** a annoncé sa décision suite à une session plénière, concluant que la violation n'était pas le résultat d'un piratage externe sophistiqué, mais plutôt de "déficiences dans la gestion de la sécurité de base" chez **Coupang** et sa filiale logistique, **Coupang Fulfillment Services**. Cette amende record dépasse le précédent record de 134,8 milliards de wons (88,8 millions de dollars) infligé à **SK Telecom** plus tôt cette année, soulignant la gravité des manquements de **Coupang** en matière de vie privée. ### Anatomie d'une violation La violation, qui a été révélée pour la première fois en novembre, a initialement touché environ 33,7 millions de comptes clients. L'enquête de la **PIPC** a confirmé que 33 222 472 membres enregistrés ont été affectés. De manière cruciale, elle a également identifié au moins 4 338 368 non-membres dont les données (noms, numéros de téléphone, adresses) étaient stockées en tant que destinataires de livraison sans leur connaissance ni leur consentement. **Coupang** n'a pas informé ces victimes non-membres malgré quatre demandes formelles du régulateur en décembre 2025 et janvier 2026. ### Interne et exfiltration de données L'auteur a été identifié comme un ressortissant chinois non nommé, un ancien employé qui a quitté **Coupang** fin 2024. Pendant qu'il était encore employé, il a développé le système d'authentification alternatif de **Coupang** et a volé la clé de signature sous-jacente avant son départ. Son attaque a commencé en janvier 2025 par un test sur 95 comptes. À partir d'avril, il a systématiquement collecté des données, accédant à la page d'adresses de livraison de **Coupang** environ 148 millions de fois sur deux mois pour collecter les noms, numéros de téléphone et adresses. Cela a été suivi par près de 35 millions d'accès à la page de modification de compte entre juin et octobre pour collecter les noms et adresses e-mail. Une phase finale a ciblé les codes d'accès aux appartements et les historiques de commandes. L'ancien employé a ensuite réassemblé les données volées en profils clients individuels et a envoyé des e-mails d'extorsion directement aux membres et à **Coupang**, affirmant posséder 120 millions d'adresses, 560 millions d'enregistrements de commandes et plus de 33 millions d'adresses e-mail, avec des historiques d'achats sensibles comme exemples de données. ### Avertissements manqués et falsification de preuves Malgré l'attaque de sept mois qui a généré d'importantes pointes de trafic et des millions de tentatives d'accès utilisant des identifiants de membre inexistants, **Coupang** est resté ignorant jusqu'à ce qu'un client transmette un e-mail d'extorsion. Plus inquiétant encore, la **PIPC** a renvoyé **Coupang** pour poursuites pénales pour destruction de preuves. Les régulateurs ont ordonné la conservation des journaux d'accès le 21 novembre, le lendemain du rapport initial de violation de **Coupang**. Cependant, six jours plus tard, l'entreprise a manuellement supprimé environ six mois de journaux d'accès web. De plus, **Coupang** n'a pas suspendu sa politique de routine de suppression automatique des journaux après six mois, entraînant la perte d'environ 13 % des journaux couvrant la période d'attaque, entravant l'identification de toutes les victimes affectées. Dans un tournant dramatique, la police a récupéré séparément un **MacBook Air** brisé lesté de briques dans une rivière – une tentative apparente de l'accusé de détruire des preuves. Les équipes forensiques de **Mandiant**, **Palo Alto Networks** et **Ernst & Young** ont réussi à documenter son contenu avant de le remettre aux autorités. ### Violations supplémentaires découvertes Une enquête élargie en janvier 2026, déclenchée par des audiences parlementaires et une couverture médiatique, a révélé plusieurs autres violations importantes : * **Collecte de données de navigation secrète :** Par le biais de son programme de marketing d'affiliation « Coupang Partners », l'entreprise a collecté secrètement l'activité de navigation de tiers (URL, noms d'applications, horodatages, adresses IP, identifiants d'appareils) auprès d'environ 11,2 millions d'utilisateurs sans consentement, reliant ces données à des comptes membres individuels. **Coupang** a soutenu qu'il ne s'agissait pas de données personnelles, mais le régulateur a été en désaccord, imposant une amende supplémentaire de 201,1 milliards de wons (132 millions de dollars) pour cette violation. Les enregistrements ont été supprimés en avril 2026 après que les enquêteurs ont confronté l'entreprise. * **"Hijack Ads" :** Certains partenaires publicitaires du même programme ont diffusé des "hijack ads", redirigeant les utilisateurs vers **Coupang** sans consentement, parfois en superposant des boutons transparents. **Coupang** était au courant de cela depuis 2022 mais n'a pas résilié les comptes contrevenants et, dans certains cas, a payé des commissions plus élevées aux partenaires surpris en train de s'engager dans cette pratique. * **Liste noire de journalistes :** **Coupang Fulfillment Services** a secrètement ajouté 71 journalistes de la presse policière à une liste noire interne de personnel, citant la "diffusion de fausses informations", bien qu'aucun d'entre eux n'ait travaillé dans un entrepôt **Coupang**. Cela a été fait sans leur connaissance ni leur consentement. * **Utilisation abusive de données de santé :** La filiale logistique a également soumis les données de poids des employés, collectées pour la gestion de la santé, comme preuve dans un litige pour accident du travail sans base légale distincte. * **Indépendance compromise du CPO :** Lors de son enquête interne sur le pirate en décembre 2025, **Coupang** a entièrement exclu son Chief Privacy Officer (CPO). Les régulateurs ont jugé cela comme une violation substantielle de l'indépendance légalement mandatée du CPO. Le PDG par intérim de **Coupang**, **Harold Rogers**, qui a été interrogé par la police en janvier en tant que suspect dans une enquête pour obstruction, a promis une coopération totale. Cependant, l'entreprise a exprimé ses regrets quant à la décision de la **PIPC** et se réserve le droit de la contester légalement. Les procédures de médiation des litiges impliquant plus de 2 500 plaignants doivent reprendre, et un recours collectif aux États-Unis reste en suspens. Les actions de **Coupang** ont chuté d'environ 35 % depuis le début de l'année, et l'entreprise fait l'objet d'un examen continu de la part des législateurs sud-coréens.