A investigação da **PIPC** revelou que as informações pessoais de aproximadamente 37,55 milhões de indivíduos foram comprometidas devido a práticas de segurança inadequadas. Essas deficiências incluíram negligência no gerenciamento de chaves de autenticação e controles de acesso insuficientes. **Coupang Fulfillment Service**, uma subsidiária, também foi multada em 248 milhões de won pela coleta, uso e manuseio ilegais de dados sensíveis de clientes. Além das deficiências de segurança, a **PIPC** citou a **Coupang** por violações relacionadas a requisitos de destruição de dados e notificação de vazamentos. O regulador também encontrou evidências de interferência na independência do oficial de proteção de dados da **Coupang** e obstrução da investigação em andamento. "Informações pessoais de aproximadamente 37,55 milhões de pessoas vazaram devido a um sistema de gerenciamento de segurança básico insuficiente, incluindo negligência no gerenciamento de chaves de assinatura de autenticação e controle de acesso", declarou a **PIPC**. "Em relação à violação das obrigações de medidas de segurança da **Coupang** e à coleta de informações pessoais sem base legal, foram impostas uma multa de 624,681 bilhões de won e uma multa de 16,8 milhões de won, além de ordens corretivas, anúncios e ordens de publicação." A **Coupang**, uma empresa americana de varejo online com operações significativas na Coreia do Sul, emprega 95.000 pessoas e ostenta receitas anuais superiores a US$ 30 bilhões. ### Esforços de Compensação em Andamento No final de dezembro, a **Coupang** anunciou planos para alocar 1,685 trilhão de won (aproximadamente US$ 1,17 bilhão) para compensação de clientes. Essa iniciativa prevê a distribuição de vouchers de compra de uso único, cada um avaliado em 50.000 won (cerca de US$ 34), para mais de 33 milhões de clientes afetados a partir de janeiro de 2026. ### Descoberta do Vazamento e Detalhes do Suspeito Este incidente, um dos maiores vazamentos de dados na história da Coreia do Sul, ocorreu no final de junho, mas permaneceu indetectado até meados de novembro. Foi então que a **Coupang** divulgou que 33,7 milhões de contas haviam sido comprometidas. As autoridades sul-coreanas, que assumiram a investigação, identificaram um cidadão chinês de 43 anos como o principal suspeito. Este indivíduo, um ex-funcionário do departamento de TI da **Coupang** entre 2022 e 2024, é considerado o responsável pelo vazamento. A **Coupang** relatou posteriormente que o ex-funcionário devolveu múltiplos discos rígidos contendo dados sensíveis. O suspeito também tentou destruir evidências descartando um laptop **MacBook Air** em um rio, embora o dispositivo tenha sido recuperado posteriormente. A empresa acrescentou que, embora o suspeito tenha acessado milhões de contas, ele teria retido dados de usuários de aproximadamente 3.000 contas, que desde então foram excluídos de todos os dispositivos e não foram transferidos para terceiros. ### Cenário Mais Amplo de Incidentes de Cibersegurança Coreanos Este incidente segue outro evento de segurança significativo na Coreia do Sul. Em abril, a **SK Telecom**, a maior operadora de rede móvel do país, alertou os clientes que dados sensíveis de **USIM** haviam sido expostos devido a um ataque de malware em sua rede. A empresa divulgou posteriormente que o malware esteve presente em seus sistemas desde junho de 2022, impactando, em última análise, 27 milhões de assinantes — quase toda a sua base de clientes.