Южнокорейская Coupang получила рекордный штраф $409 млн после утечки данных десятков миллионов клиентов

Южнокорейский регулятор оштрафовал крупнейшую торговую платформу страны Coupang на 624,6 млрд вон, или примерно 409 млн долларов США. Причиной стала масштабная утечка, затронувшая более 37 млн пользователей сервиса. Комиссия по защите персональных данных Южной Кореи (PIPC) выявила серьёзные недостатки в системе безопасности компании.

Скомпрометированной оказалась информация около 37,55 млн человек, и регулятор указал на проблемы с управлением ключами аутентификации и контролем доступа. Дочерняя структура Coupang Fulfillment Service получила дополнительный штраф 248 млн вон за незаконный сбор и обработку чувствительных сведений клиентов. Финансовые санкции дополнены предписанием устранить выявленные нарушения и опубликовать соответствующие уведомления.

В ходе расследования PIPC обнаружила целый ряд дополнительных нарушений со стороны платформы:

• несоблюдение требований по удалению данных пользователей в установленные сроки;
• нарушение порядка уведомления об инциденте безопасности;
• вмешательство в работу сотрудника, отвечавшего за защиту персональных данных;
• действия, препятствовавшие проведению официального расследования.

Утечка стала следствием недостаточной эффективности системы защиты, заявили в комиссии. Компания не обеспечила надлежащий контроль над механизмами аутентификации и разграничения доступа, что привело к компрометации сведений миллионов пользователей. Coupang входит в число крупнейших игроков электронной коммерции Южной Кореи, насчитывает около 95 тыс. сотрудников и получает годовую выручку свыше 30 млрд долларов.

После раскрытия масштаба инцидента компания объявила о программе компенсаций пострадавшим. В конце декабря Coupang сообщила о намерении направить 1,685 трлн вон, или примерно 1,17 млрд долларов, на поддержку клиентов. Более 33 млн пользователей должны получить купоны номиналом 50 тыс. вон, что составляет около 34 долларов на человека.

Сам инцидент произошёл в конце июня, но обнаружить его удалось лишь в середине ноября, когда компания сообщила о компрометации 33,7 млн учётных записей. Следствие установило, что главным подозреваемым является 43-летний гражданин Китая, работавший в IT-подразделении Coupang с 2022 по 2024 год. Правоохранительные органы Южной Кореи рассматривают его как основного фигуранта дела.

Бывший сотрудник позднее вернул несколько жёстких дисков с конфиденциальной информацией компании. Подозреваемый попытался уничтожить доказательства, выбросив ноутбук MacBook Air в реку, но устройство было обнаружено следователями. В Coupang утверждают, что специалист сохранил данные примерно 3000 пользователей при наличии доступа к значительно большему объёму информации.

Инцидент стал одним из крупнейших случаев утечки данных в истории Южной Кореи и заметно усилил внимание к вопросам защиты персональных сведений в стране. Дополнительное беспокойство вызвал и другой крупный инцидент. В апреле оператор мобильной связи SK Telecom сообщил о компрометации данных USIM-карт после заражения инфраструктуры вредоносным программным обеспечением. Расследование показало, что вредоносное ПО проникло в сеть ещё в июне 2022 года и затронуло около 27 млн абонентов, что составляет почти всю клиентскую базу оператора.