Güney Koreli e-ticaret devi Coupang, yaklaşık 33,7 milyon müşterinin kişisel bilgilerinin açığa çıkmasına neden olan önemli bir veri ihlalini itiraf etti.
Bu rakam şirketin tüm kullanıcı tabanına yakın ve bu da onu ülkede bilinen en önemli veri ihlallerinden biri haline getiriyor.
Coupang’a göre çalınan veriler arasında isimler, telefon numaraları, e-posta adresleri, teslimat adresleri ve sipariş geçmişleri yer alıyor. Bu, Coupang’ın hizmetlerini kullanan herkesin alışveriş ayrıntılarının ve iletişim bilgilerinin açığa çıkabileceği anlamına geliyor.
Şirket, çok hassas finansal verilerin alınmadığını söyledi. Kredi kartı numaraları, ödeme bilgileri ve hesap şifrelerine erişilemedi.
Coupang, müşterilerin şifrelerini sıfırlamalarına veya hesaplarını kullanmayı bırakmalarına gerek olmadığını vurguladı. Ancak kullanıcıları Coupang’dan geliyor gibi görünen kimlik avı mesajlarına karşı dikkatli olmaları konusunda uyardı ve onları daha fazla bilgi vermeleri için kandırdı.
Saldırının eski bir Coupang çalışanıyla bağlantılı olduğu belirtildi. Bu kişinin şirketten ayrıldıktan sonra iptal edilmesi gereken dahili erişimi kullandığına inanılıyor.
Özellikle şirket belirli kriptografik imzalama anahtarlarını iptal edemedi. Bunlar bir sistem içindeki kimliği kanıtlamak için kullanılan özel dijital araçlardır.
Coupang’ın kimlik doğrulama sistemlerinde çalışan eski bir Çin vatandaşı olan şüphelinin, bu anahtarları sahte erişim jetonları oluşturmak için kullandığı iddia ediliyor.
Bu tokenlar ile düzenli güvenlik kontrollerinden geçmeden yurt dışından giriş yapabiliyorlardı.
Yetkisiz erişimin 24 Haziran 2025’te başladığı düşünülüyor. Coupang aylarca sorunu fark etmedi. Şirket ilk kez 18 Kasım’da olağandışı bir faaliyet fark etti ve yalnızca yaklaşık 4.500 müşterinin etkilendiğine inandı.
Daha sonra yapılan daha derin bir dahili inceleme, aslında on milyonlarca hesaba erişildiğini gösterdi.
Seul Büyükşehir Polis Teşkilatı şu anda Coupang’ın sunucu kayıtlarını inceliyor ve saldırıda kullanılan IP adresini takip etmek için denizaşırı ortaklarla birlikte çalışıyor.
Müfettişler ayrıca Coupang’a gönderilen ve güvenlik zayıflıklarını ortaya çıkarmakla tehdit eden isimsiz e-postaları da araştırıyor. Bu e-postaların fidye istememesi, saldırganın amaçları hakkında soru işaretlerine yol açıyordu.
Coupang ciddi hukuki ve mali sonuçlarla karşı karşıya kalabilir. Güney Kore’nin Kişisel Bilgilerin Korunması Yasası uyarınca, düzenleyiciler bu tür olaylar nedeniyle bir şirkete ortalama yıllık gelirinin yüzde 3’üne kadar para cezası verebiliyor.
Coupang’ın son gelirine göre, ceza 1 trilyon wona (yaklaşık 680 milyon dolar) kadar çıkabilir ve bu da mevcut rekor olan 134,8 milyar wonluk cezanın çok üzerine çıkabilir.
Şirket, etkilenen tüm müşterilere e-posta ve kısa mesaj aracılığıyla bildirim gönderdiğini ve ihlali araştıran devlet kurumlarıyla tam işbirliği yaptığını açıkladı.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.