Komisi Perlindungan Informasi Pribadi (PIPC), regulator perlindungan data Korea Selatan, telah mendenda raksasa e-commerce Coupang dengan rekor denda sebesar 624,6 miliar won (kira-kira $409 juta) menyusul pelanggaran data besar-besaran yang memengaruhi lebih dari 37 juta pelanggan.
Anak Perusahaan Layanan Pemenuhan Coupang juga didenda 248 juta won karena mengumpulkan, menggunakan, dan menangani data pribadi dan sensitif pelanggan secara tidak sah.
Para penyelidik juga menemukan bahwa informasi pribadi sekitar 37,55 juta orang bocor karena praktik keamanan yang tidak memadai, termasuk kegagalan dalam manajemen kunci otentikasi dan kontrol akses.
PIPC juga menyebutkan pelanggaran persyaratan pemusnahan data dan pemberitahuan kebocoran, gangguan terhadap independensi petugas perlindungan data Coupang, dan menghalangi penyelidikan.
“Informasi pribadi sekitar 37,55 juta orang bocor karena sistem manajemen keselamatan dasar yang tidak memadai, termasuk kelalaian dalam manajemen kunci tanda tangan otentikasi dan kontrol akses,” kata PIPC. “Mengenai pelanggaran Coupang terhadap kewajiban tindakan keselamatan dan pengumpulan informasi pribadi tanpa dasar hukum, dikenakan denda sebesar 624,681 miliar won dan denda sebesar 16,8 juta won, serta perintah perbaikan, pengumuman, dan perintah publikasi.”
Coupang adalah perusahaan ritel online Amerika yang beroperasi di pasar Korea Selatan, mempekerjakan 95.000 orang, dan telah melaporkan pendapatan tahunan melebihi $30 miliar.
Perusahaan mengumumkan rencananya pada akhir Desember untuk membayar 1,685 triliun won (sekitar $1,17 miliar) dan mulai mendistribusikan voucher pembelian sekali pakai senilai total 50.000 won (sekitar $34) per pelanggan pada bulan Januari 2026 untuk memberikan kompensasi kepada lebih dari 33 juta pelanggan yang terkena dampak.
Pelanggaran ini, salah satu yang terburuk dalam sejarah Korea Selatan, terjadi pada akhir Juni namun baru diketahui pada pertengahan November, ketika perusahaan tersebut memperingatkan bahwa 33,7 juta akun telah disusupi.
Menurut pihak berwenang Korea Selatan, yang mengambil alih penyelidikan, tersangka utama adalah a Warga negara Tiongkok berusia 43 tahun yang bekerja di departemen TI Coupang antara tahun 2022 dan 2024.
Coupang kemudian mengatakan bahwa mantan karyawan tersebut mengembalikan beberapa hard drive yang berisi data sensitif. Tersangka juga membuang laptop MacBook Air ke sungai untuk menghilangkan barang bukti, namun perangkat tersebut berhasil ditemukan. Coupang juga menambahkan bahwa tersangka menyimpan data pengguna sekitar 3.000 akun, meskipun mereka mengakses jutaan akun, dan data tersebut telah dihapus dari semua perangkat dan tidak ditransfer ke orang lain.
SK Telecom, operator jaringan seluler terbesar di Korea Selatan, juga memperingatkan pelanggannya pada bulan April bahwa hal itu sensitif Data USIM telah terungkap setelah jaringannya terinfeksi malware. Perusahaan kemudian mengungkapkan bahwa malware tersebut pertama kali diterapkan pada sistemnya pada Juni 2022, yang berdampak pada total 27 juta pelanggan (mewakili hampir seluruh basis pelanggan SK Telecom).
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
