Coupang: gigantyczny wyciek danych 33,7 mln kont. Co ujawniono, skąd incydent i co robić?

Wprowadzenie do problemu / definicja luki

Największy koreański e-commerce, Coupang, potwierdził naruszenie ochrony danych obejmujące 33,7 mln kont klientów. Firma informuje, iż wyciek dotyczy użytkowników w Korei i obejmuje imiona i nazwiska, adresy e-mail, numery telefonów, adresy dostawy oraz wybrane elementy historii zamówień. Coupang podkreśla, iż nie wyciekły dane płatnicze ani hasła. Incydent został wykryty 18 listopada 2025 r., a ślady nieuprawnionego dostępu sięgają 24 czerwca 2025 r. i prowadzą do serwerów zagranicznych.

W skrócie

• Skala: 33,7 mln kont klientów (Korea).
• Zakres danych: identyfikacyjne i logistyczne (bez kart i haseł).
• Oś czasu: dostęp od 24.06.2025; wykrycie 18.11.2025; publiczna aktualizacja 30.11.2025 (UTC).
• Podejrzenie: możliwy insider – były pracownik narodowości chińskiej (ustalenia mediów).
• Regulator: sprawę bada koreańska PIPC; wstępne zgłoszenia 20 i 29 listopada.

Kontekst / historia / powiązania

Początkowo, 20 listopada 2025 r., Coupang zgłosił naruszenie dotykające ok. 4,5 tys. klientów. W toku analizy zakres incydentu znacząco się rozszerzył do 33,7 mln kont, co firma zakomunikowała 30 listopada (UTC).
To już kolejny duży wyciek danych w Korei Południowej w 2025 r.; wiosną SK Telecom odnotował naruszenie dotyczące 23,24 mln osób, za co regulator wymierzył rekordową karę 134,8 mld KRW – incydent Coupanga jest więc jeszcze większy.

Analiza techniczna / szczegóły luki

• Wektor i sprawca: Coupang wskazuje na nieuprawniony dostęp do systemów przetwarzających dane dostawy; media, powołując się na źródła śledcze, piszą o byłym pracowniku (insider threat). Policja prowadzi postępowanie.
• Czas ekspozycji: według firmy, pierwsza aktywność 24.06.2025, a wykrycie 18.11.2025 – to ~5 miesięcy niewykrytej aktywności (dwell time).
• Kategorie danych: tożsamościowe i logistyczne (PII + adresy dostaw, fragmenty historii zamówień); brak haseł i tokenów płatniczych wśród ujawnionych informacji. To ogranicza ryzyko przejęcia kont wyłącznie na bazie tych rekordów, ale nie eliminuje wektorów socjotechnicznych.
• Zgłoszenia do regulatora: PIPC potwierdza, iż otrzymała od Coupanga dwa raporty (20 i 29 listopada) i prowadzi przyspieszone postępowanie w sprawie naruszenia obowiązków wynikających z Koreańskiej Ustawy o Ochronie Danych Osobowych (PIPA).

Praktyczne konsekwencje / ryzyko

• Spear-phishing & smishing: pakiet PII + adresy dostaw + fragmenty historii zamówień umożliwia tworzenie bardzo wiarygodnych oszustw (np. „dopłata do przesyłki”, „problem z odbiorem”). W Korei to popularny wektor nadużyć. (Wniosek na podstawie zakresu danych.)
• Impersonacja i social engineering: kombinacja telefon + adres + ostatnie zamówienia pozwala atakującym przechodzić weryfikacje „KBA” (knowledge-based authentication) u innych usługodawców. (Wniosek analityczny; zakres danych potwierdzony przez Reuters).
• Ryzyka wtórne: targetowane próby resetu haseł z użyciem SIM-swapu lub przechwycenia SMS, choć same hasła nie wyciekły. (Wniosek analityczny, przywołując brak haseł).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników:

1. Włącz MFA (aplikacja TOTP zamiast SMS tam, gdzie możliwe).
2. Ustaw alerty transakcyjne i monitoruj historię zamówień oraz nietypowe logowania.
3. Zmień hasło do Coupang jeśli było współdzielone z innymi serwisami.
4. Bądź hiper-czujny na smishing: nie klikaj linków o „dopłacie do wysyłki”; weryfikuj numer nadawcy i domenę.
5. Zastrzeż dane w banku/telekomie (np. zablokuj zdalne przenoszenie numeru), aby utrudnić SIM-swap.

Dla firm (program minimum po incydencie):

• Hardened IAM dla środowisk z danymi PII: zasady least privilege, recertyfikacja dostępu co 90 dni, monitoring sesji uprzywilejowanych.
• Zarządzanie insider risk: kontrola offboardingu (natychmiastowe wygaszanie kont), DLP na warstwie endpointów i SaaS, flagi ryzyka w HR. (Hipoteza „insidera”: patrz doniesienia KBS/Reuters).
• Detekcja długotrwałego dostępu: korelacje z egressem do zagranicznych AS, reguły UEBA na akces logów zamówień/dostaw.
• Segmentacja danych dostaw i tokenizacja adresów, aby ograniczyć zasięg naruszeń.
• Ćwiczenia TTX ukierunkowane na scenariusze smishing/brand abuse po wycieku.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu z incydentem SK Telecom (23,24 mln ofiar), skala Coupanga (33,7 mln) jest większa, a charakter danych inny: telekomy zwykle przechowują bogatsze zestawy identyfikacyjne (np. numery identyfikacyjne), podczas gdy Coupang potwierdza dane dostawy i kontaktowe + cząstkową historię zamówień, ale bez kart i haseł. W obu sprawach PIPC stosuje agresywny nadzór i kary – w przypadku SKT padła rekordowa grzywna 134,8 mld KRW, co wyznacza punkt odniesienia dla e-commerce.

Podsumowanie / najważniejsze wnioski

• Największy tegoroczny wyciek w Korei: 33,7 mln kont Coupang; dane kontaktowe i logistyczne w rękach atakujących.
• Długi dwell time (~5 mies.): potrzeba lepszego monitoringu anomalii i kontroli dostępu.
• Wysokie ryzyko socjotechniki: przygotuj użytkowników na falę smishingu.
• Regulator działa: PIPC bada sprawę, co może skończyć się dotkliwą karą i wymuszeniem zmian compliance.

Źródła / bibliografia

1. Reuters: „Top South Korean e-commerce firm Coupang says 33.7 million customer accounts breached”, 30 listopada 2025 (UTC). (Reuters)
2. Korea Times: „Coupang’s data breach undetected for five months, triggering customer alarm”, 30 listopada 2025. (The Korea Times)
3. KBS World: „Chinese Ex-Employee Suspected in Coupang Data Breach”, 30 listopada 2025. (world.kbs.co.kr)
4. Korea JoongAng Daily: „Coupang data breach exposes data of 4,500 customers…”, 20 listopada 2025. (Korea Joongang Daily)
5. AJU Press: „Coupang hit by massive personal data breach affecting 33.7 million…”, 30 listopada 2025 (porównanie ze sprawą SK Telecom i karą PIPC). (AJU PRESS)