Güney Koreli e-ticaret devi Coupang, neredeyse şirketin tüm kullanıcı tabanını oluşturan yaklaşık 33,7 milyon müşteriyi etkileyen büyük bir güvenlik olayını doğruladı.
İsimleri, telefon numaralarını, e-posta adreslerini, teslimat adreslerini ve sipariş geçmişlerini açığa çıkaran ihlalin, iptal edilmemiş dahili erişim kimlik bilgilerini kullanan eski bir çalışana kadar uzandığı belirlendi.
Sızıntının boyutu eşi benzeri görülmemiş olsa da Coupang, müşterilere kredi kartı numaraları ve ödeme bilgilerinin yanı sıra hesap şifreleri de dahil olmak üzere hassas finansal verilerin tehlikeye atılmadığına dair güvence verdi.
Şirket, etkilenen kullanıcıların hesaplarıyla ilgili özel koruyucu eylemlerde bulunmalarına gerek olmadığını ancak resmi Coupang iletişimleri olarak gizlenen potansiyel kimlik avı girişimlerine karşı dikkatli olmaları gerektiğini belirtti.
Yetkisiz erişimin 24 Haziran 2025’te başladığı ancak aylarca fark edilmediği bildirildi. Coupang ilk olarak 18 Kasım’da anormal aktivite tespit etti ve başlangıçta yalnızca 4.500 hesabın etkilendiğini tahmin etti.
Ancak daha sonra yapılan bir iç soruşturma, hasarın gerçek boyutunu ortaya çıkardı ve on milyonlarca kayda denizaşırı bir internet bağlantısı üzerinden erişildiğini doğruladı.
İhlal, Coupang’ın kimlik ve erişim yönetimi (IAM) protokollerindeki kritik bir hatayı vurguluyor. Ulusal Meclis Bilim, BİT, Yayın ve İletişim Komitesi başkanı Temsilci Choi Min-hee’ye göre şirket, eski bir çalışanın ayrılmasından sonra onunla ilişkili kriptografik imzalama anahtarlarını iptal edemedi.
Kimlik doğrulama sistemleri üzerinde çalışan Çin uyruklu eski bir personel olduğuna inanılan şüphelinin, bu geçerli imzalama anahtarlarını erişim jetonları oluşturmak için kullandığı iddia edildi.
Bu belirteçler, saldırganın standart oturum açma prosedürlerini atlamasına ve sisteme uzaktan erişmesine olanak sağladı. Coupang, anahtarların geçerliliğinin sona ermesine ilişkin endüstri standartlarının farklılık göstermesine rağmen, bu saldırıda kullanılan belirli anahtarların, çalışanın kuruluştan ayrılmasından sonra da uzun süre geçerli kaldığını itiraf etti.
Seul Büyükşehir Polis Teşkilatı şu anda sunucu günlüklerini analiz ediyor ve ilgili IP adresini izlemek için uluslararası kurumlarla işbirliği yapıyor. Müfettişler ayrıca şüphelinin Coupang’a gönderilen ve güvenlik kusurlarını ifşa etme tehdidinde bulunan isimsiz e-postalarla bağlantılı olup olmadığını da belirliyor. Bu iletişimlerin fidye talebini içermemesi dikkat çekicidir.
Coupang’ın düzenleyici etkileri tarihi olabilir. Kişisel Bilgilerin Korunması Kanunu uyarınca şirketler bu tür ihlallerden dolayı yıllık ortalama gelirlerinin yüzde 3’üne kadar para cezasına çarptırılabiliyor.
Coupang’ın son gelir rakamları göz önüne alındığında, cezanın 1 trilyon wona (680 milyon dolar) kadar çıkabileceği ve daha önceki telekomünikasyon ihlali nedeniyle belirlenen 134,8 milyar wonluk önceki rekor cezayı muhtemelen kırabileceği belirtiliyor.
Coupang şu anda etkilenen tüm bireyleri e-posta ve kısa mesaj yoluyla bilgilendiriyor ve Kişisel Bilgilerin Korunması Komisyonu ve Kore İnternet ve Güvenlik Ajansı ile tam işbirliği yapıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
