A **PIPC** anunciou sua decisão após uma sessão plenária, concluindo que o vazamento não foi resultado de hacking externo sofisticado, mas sim de "deficiências na gestão básica de segurança" na **Coupang** e sua subsidiária de logística, **Coupang Fulfillment Services**. Esta multa recorde supera o valor anterior de 134,8 bilhões de won (US$ 88,8 milhões) imposto à **SK Telecom** no início deste ano, sublinhando a gravidade das falhas de privacidade da **Coupang**. ### Anatomia de um Vazamento O vazamento, que veio à tona em novembro, inicialmente impactou aproximadamente 33,7 milhões de contas de clientes. A investigação da **PIPC** confirmou que 33.222.472 membros registrados foram afetados. Crucialmente, também identificou pelo menos 4.338.368 não-membros cujos dados (nomes, números de telefone, endereços) foram armazenados como destinatários de entrega sem o conhecimento ou consentimento deles. A **Coupang** falhou em notificar essas vítimas não-membros, apesar de quatro solicitações formais do regulador em dezembro de 2025 e janeiro de 2026. ### Trabalho Interno e Exfiltração de Dados O perpetrador foi identificado como um cidadão chinês não nomeado, um ex-funcionário que deixou a **Coupang** no final de 2024. Enquanto ainda empregado, ele desenvolveu o sistema de autenticação alternativa da **Coupang** e roubou a chave de assinatura subjacente antes de sua saída. Seu ataque começou em janeiro de 2025 com um teste em 95 contas. A partir de abril, ele sistematicamente coletou dados, acessando a página de endereços de entrega da **Coupang** aproximadamente 148 milhões de vezes ao longo de dois meses para coletar nomes, números de telefone e endereços. Isso foi seguido por quase 35 milhões de acessos à página de edição de conta entre junho e outubro para coletar nomes e endereços de e-mail. Uma fase final visou códigos de entrada de apartamentos e históricos de pedidos. O ex-funcionário posteriormente remontou os dados roubados em perfis individuais de clientes e enviou e-mails de extorsão diretamente aos membros e à **Coupang**, alegando possuir 120 milhões de endereços, 560 milhões de registros de pedidos e mais de 33 milhões de endereços de e-mail, completos com históricos de compras sensíveis como dados de amostra. ### Avisos Ignorados e Adulteração de Evidências Apesar do ataque de sete meses gerar picos de tráfego significativos e milhões de tentativas de acesso usando IDs de membros inexistentes, a **Coupang** permaneceu alheia até que um cliente encaminhou um e-mail de extorsão. Mais preocupante ainda, a **PIPC** encaminhou a **Coupang** para processo criminal por destruição de evidências. Os reguladores ordenaram a preservação dos logs de acesso em 21 de novembro, um dia após o relatório inicial de violação da **Coupang**. No entanto, seis dias depois, a empresa excluiu manualmente aproximadamente seis meses de logs de acesso web. Além disso, a **Coupang** falhou em pausar sua política de rotina de exclusão automática de logs após seis meses, resultando na perda de cerca de 13% dos logs que cobriam o período do ataque, dificultando a identificação de todas as vítimas afetadas. Em uma reviravolta dramática, a polícia recuperou separadamente um **MacBook Air** esmagado e pesado com tijolos de um rio – uma tentativa aparente do suposto perpetrador de destruir evidências. Equipes forenses da **Mandiant**, **Palo Alto Networks** e **Ernst & Young** documentaram com sucesso seu conteúdo antes de entregá-lo às autoridades. ### Violações Adicionais Descobertas Uma investigação expandida em janeiro de 2026, impulsionada por audiências parlamentares e cobertura da mídia, descobriu várias outras violações significativas: * **Coleta Clandestina de Dados de Navegação:** Através de seu programa de marketing de afiliados “Coupang Partners”, a empresa coletou clandestinamente atividade de navegação de terceiros (URLs, nomes de aplicativos, timestamps, endereços IP, identificadores de dispositivos) de aproximadamente 11,2 milhões de usuários sem consentimento, vinculando esses dados a contas de membros individuais. A **Coupang** argumentou que não eram dados pessoais, mas o regulador discordou, impondo uma multa adicional de 201,1 bilhões de won (US$ 132 milhões) por essa violação. Os registros foram excluídos em abril de 2026 após os investigadores confrontarem a empresa. * **"Hijack Ads":** Alguns parceiros de publicidade no mesmo programa veicularam "hijack ads", redirecionando usuários para a **Coupang** sem consentimento, às vezes sobrepondo botões transparentes. A **Coupang** estava ciente disso desde 2022, mas falhou em encerrar as contas infratoras e, em alguns casos, pagou comissões mais altas a parceiros flagrados nessa prática. * **Lista Negra de Jornalistas:** A **Coupang Fulfillment Services** adicionou secretamente 71 jornalistas de imprensa policial a uma lista negra interna de funcionários, citando "disseminação de informações falsas", apesar de nenhum deles ter trabalhado em um armazém da **Coupang**. Isso foi feito sem o conhecimento ou consentimento deles. * **Uso Indevido de Dados de Saúde:** A subsidiária de logística também apresentou dados de peso de funcionários, coletados para gerenciamento de saúde, como evidência em um processo de acidente de trabalho sem uma base legal separada. * **Comprometimento da Independência do CPO:** Durante sua investigação interna do hacker em dezembro de 2025, a **Coupang** excluiu completamente seu Chief Privacy Officer (CPO). Os reguladores consideraram isso uma violação substancial da independência legalmente mandatada do CPO. O CEO interino da **Coupang**, **Harold Rogers**, que foi interrogado pela polícia em janeiro como suspeito em uma investigação de obstrução, prometeu total cooperação. No entanto, a empresa expressou pesar pela decisão da **PIPC** e reserva-se o direito de contestá-la legalmente. Procedimentos de mediação de disputas envolvendo mais de 2.500 reclamantes estão programados para serem retomados, e um processo coletivo nos Estados Unidos permanece pendente. As ações da **Coupang** caíram aproximadamente 35% desde o início do ano, e a empresa enfrenta escrutínio contínuo por parte dos legisladores sul-coreanos.