Министерство науки Южной Кореи обвиняет Coupang в утечке данных из-за управленческих ошибок

Министерство науки и ИКТ Южной Кореи обвинило компанию Coupang в крупной утечке данных, произошедшей в 2025 году, связав инцидент с управленческими ошибками и нарушением приказа о сохранении логов данных. По данным министерства, утечка затронула персональные данные около 33,7 миллиона клиентов, включая имена и номера телефонов.

Заместитель министра по кибербезопасности и сетевой политике Чхве У-хёк заявил на пресс-конференции: «Это скорее проблема управления, чем сложная атака», подчеркнув слабый контроль за системами аутентификации. Министерство отметило, что злоумышленник использовал уязвимости в аутентификации пользователей для доступа к учетным записям без надлежащего входа, что привело к масштабной несанкционированной утечке информации.

В ходе расследования выяснилось, что бывший сотрудник Coupang, покинувший компанию в ноябре 2024 года, похитил внутренний ключ безопасности, известный как ключ подписи. Этот ключ использовался для создания поддельных токенов входа, что позволило получить несанкционированный доступ к учетным записям клиентов. Министерство подчеркнуло, что компания не отозвала ключ подписи после увольнения сотрудника, что свидетельствует о недостаточной системе безопасности.

Кроме того, министерство обвинило Coupang в попытке «ограничить» расследование путем удаления некоторых данных, нарушая правительственный приказ о сохранении информации. В связи с этим министерство призвало полицию провести расследование в отношении компании.

Компания Coupang заявила, что примет все необходимые меры для предотвращения дальнейшего ущерба и продолжит укреплять меры безопасности, чтобы избежать повторения подобных инцидентов. Компания также сообщила, что программное обеспечение, написанное бывшим сотрудником, сгенерировало около 140 миллионов запросов, но нет доказательств того, что третьи лица получили доступ или просмотрели данные, которые не включали платежную информацию или данные для входа.

Министерство науки и ИКТ планирует наложить административный штраф в размере до 30 миллионов вон (около 20 596 долларов США) за нарушение закона об информационных сетях, поскольку Coupang не сообщила о нарушении в течение установленного 24-часового периода. Компания уведомила своего главного специалиста по информационной безопасности о нарушении 17 ноября в 16:00 по местному времени и сообщила об этом властям 19 ноября в 21:35, что превышает установленный срок более чем на 53 часа.

Расследование продолжается, и ожидается, что будут приняты дополнительные меры для предотвращения подобных инцидентов в будущем.