Coupang multada em US$ 410 milhões por vazar dados de 37 milhões de pessoas

A Coupang, gigante do comércio eletrônico sul-coreano, recebeu multa recorde de 624,68 bilhões de wons, cerca de 409 milhões de dólares, da autoridade de proteção de dados da Coreia do Sul. A sanção, a maior já aplicada no país, decorre do vazamento de informações de 37,5 milhões de pessoas, mais de 70% da população, com nomes, telefones, endereços e histórico de pedidos expostos. Do total, 423,6 bilhões de wons correspondem às falhas de segurança e 201,1 bilhões à coleta não autorizada de dados de navegação de 11,17 milhões de usuários de serviços de terceiros.

Um ex-desenvolvedor de nacionalidade chinesa reteve uma chave de assinatura de autenticação após seu desligamento e acessou os sistemas internos por cinco meses sem ser detectado. A Coupang só descobriu o incidente após uma reclamação de cliente, não por monitoramento interno. A presidente da PIPC, Song Kyung-hee, afirmou que o incidente não envolveu técnicas sofisticadas, mas sim gestão básica de segurança deficiente e negligência da empresa.

Agravando o caso, a empresa apagou manualmente registros de acesso após receber ordem de preservação de provas e não comunicou a violação dentro do prazo legal de 72 horas, o que resultou em denúncia criminal. A subsidiária Coupang Fulfillment Services foi multada em 248 milhões de wons adicionais por manter lista negra com dados de 71 jornalistas. A investigação gerou tensão diplomática entre Seul e Washington, com parlamentares americanos criticando a ação regulatória. A Coupang anunciou que recorrerá.

▌ CYBERPROTEC INTELIGÊNCIA

Um ex-funcionário manteve a chave ativa por cinco meses porque nenhum controle revogou o acesso após o desligamento. Não houve hacking sofisticado, e sim falha na gestão básica de identidades. Revogação automática de credenciais, monitoramento contínuo de acessos privilegiados e preservação de logs são medidas que bloqueiam esse tipo de exposição. Notificar incidentes no prazo legal é obrigatório.

O caso Coupang prova que uma multa bilionária supera qualquer investimento em prevenção. A CyberProtec oferece planos mensais de gestão de identidades e detecção de ameaças internas.