Coupang: wyciek danych 33,7 mln kont powiązany z byłym pracownikiem z zachowanym dostępem

Wprowadzenie do problemu / definicja luki

Największy w Korei Południowej sklep internetowy Coupang potwierdził naruszenie danych dotyczących ok. 33,7 mln kont klientów. Kluczowy wątek śledztwa: były pracownik miał po odejściu z firmy wciąż możliwość dostępu do systemów i wykorzystał ją do wielomiesięcznej eksfiltracji danych. Wycieku nie wykrywano od 24 czerwca 2025 r. do 18 listopada 2025 r. – wtedy spółka odnotowała anomalię i uruchomiła dochodzenie. Ujawnione dane obejmują m.in. nazwiska, e-maile, numery telefonów, adresy dostawy oraz część historii zamówień; firma i media podkreślają, że nie ma dowodów na wyciek haseł czy danych płatniczych.

W skrócie

• Skala: 33,7 mln kont – blisko 2/3 populacji Korei.
• Wektor: Insider/„stale access” – były deweloper zachował ważne klucze/dostępy po odejściu.
• Linia czasu: aktywność od 24.06, wykrycie 18.11, publiczne ogłoszenie 29.11; regulator PIPC nakazał korektę komunikatów jako „wyciek”, a nie „ekspozycja”.
• Dane: identyfikacyjne i logistyczne; bez haseł i danych kart.
• Skutek biznesowy: dymisja lokalnego CEO, presja regulacyjna i śledztwo.

Kontekst / historia / powiązania

Coupang najpierw zasygnalizował 20 listopada problem dotyczący ok. 4,5 tys. kont, lecz 29 listopada skala została zrewidowana do 33,7 mln. 3 grudnia regulator PIPC uznał, że firma nieprawidłowo zakomunikowała zdarzenie i nakazał ponowne powiadomienie użytkowników z użyciem terminu „wyciek” oraz doprecyzowanie zakresu danych. 10 grudnia lokalny CEO złożył rezygnację.

Analiza techniczna / szczegóły luki

Z dotychczasowych ustaleń wynika, że:

• Tożsamość sprawcy: trop prowadzi do byłego pracownika-dewelopera, który po odejściu miał nadal aktywny dostęp/klucze, co umożliwiło długotrwałe pozyskiwanie danych. To klasyczny incydent „orphaned access / credential orphaning”.
• Okno działania: od 24.06.2025 do wykrycia 18.11.2025.
• Zakres informacji: imię i nazwisko, e-mail, telefon, adres(y) dostawy, elementy historii zamówień; brak potwierdzonych wycieków haseł/płatności.
• Czynniki sprzyjające: niedostateczny proces offboardingu (brak natychmiastowego cofnięcia uprawnień), prawdopodobne luki w monitoringu DLP/UEBA (niezauważona wielomiesięczna eksfiltracja), możliwe nadmierne uprawnienia konta (principle of least privilege naruszone). (Wnioski na podstawie ustaleń mediów o zachowanym dostępie ex-pracownika i długim oknie ataku).

Praktyczne konsekwencje / ryzyko

• Spear-phishing & smishing: połączenie nazwisk, telefonów i adresów ułatwi ataki podszywające się pod kurierów/marketplace (np. „dopłata do dostawy”).
• Fraudy logistyczne: możliwe nadużycia informacji o punktach dostaw/„door codes” i manipulacje w zgłoszeniach zwrotów. (Wniosek na bazie zakresu danych logistycznych).
• Ryzyko wtórne: profilowanie konsumenckie, doxing, oszustwa „na pracownika sklepu”.
• Ryzyko prawne i finansowe dla firmy: dochodzenia PIPC, presja polityczna i sankcje; turbulencje reputacyjne i kadrowe (dymisja CEO).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników Coupang (i ogólnie e-commerce)

1. Włącz 2FA i monitoruj logowania do konta.
2. Ignoruj linki z SMS/e-mail o dopłatach; weryfikuj status dostawy tylko w aplikacji.
3. Zmień kody do klatek/wejść, jeśli były współdzielone z kurierem; rozważ czasowe kody gościnne, jeśli dostawca wspiera. (Coupang samo zaleca środki ostrożności po ponownym zawiadomieniu).
4. Ustaw alerty w bankowości i na kartach (choć karty nie wyciekły, wzmożone phishingi są prawdopodobne).
5. Sprawdź historię zamówień pod kątem nieautoryzowanych działań.

Dla zespołów bezpieczeństwa / organizacji

1. Zero Standing Privileges + Just-in-Time Access dla kont uprzywilejowanych.
2. Twardy offboarding w T₀: natychmiastowe cofnięcie kont, tokenów, kluczy API, dostępów VPN/IdP, rotacja sekretów; automatyczne „access review” 24–48 h po odejściu.
3. UEBA + DLP: korelacja anomalii (wolna, długotrwała eksfiltracja danych client PII); alerty na nietypowe zapytania do baz i masowe zrzuty.
4. Segmentacja danych i least privilege na poziomie tabel/kolumn; tokenizacja adresów i numerów telefonu.
5. „Tabletop” z insiderm: scenariusze kradzieży danych po odejściu pracownika; ćwiczenia komunikacyjne (w tym współpraca z regulatorem).
6. Retrospekcja logów ≥ 180 dni i utrzymywanie „hot storage” dla telemetrycznych danych bezpieczeństwa.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

Wyciek w Coupang to klasyczny incydent insiderski z długim utrzymaniem „osieroconych” dostępów. Różni się od typowych ataków ransomware (brak szyfrowania/żądania okupu), ale przypomina głośne przypadki wycieków danych przez byłych pracowników, gdzie proces offboardingu i kontrola kluczy okazały się piętą achillesową. Skala – obejmująca większość populacji kraju – czyni go porównywalnym z największymi wyciekami PII w regionie.

Podsumowanie / kluczowe wnioski

• Źródłem problemu jest insider z utrzymanym dostępem – ryzyko często niedoszacowane.
• Procedury offboardingu i higiena kluczy są równie krytyczne jak patching.
• Transparentna, szybka komunikacja z użytkownikami i regulatorem (PIPC) ma wpływ na ryzyko wtórne i sankcje.
• Użytkownicy powinni oczekiwać fali phishingu i działać defensywnie (2FA, weryfikacje w aplikacji).

Źródła / bibliografia

• BleepingComputer: szczegóły o roli byłego pracownika oraz osi czasu (24.06 → 18.11). (BleepingComputer)
• Reuters: zakres danych, brak haseł/płatności, dymisja CEO. (Reuters)
• Financial Times: skala naruszenia, presja polityczna, kontekst rynkowy. (Financial Times)
• The Korea Herald: ewolucja komunikatu – od 4,5 tys. do 33,7 mln kont. (Korea Herald)
• Korea JoongAng Daily: działania PIPC – obowiązek korekty zawiadomień i renotyfikacji. (Korea Joongang Daily)