Yapay Zeka ve Makine Öğrenimi , Siber Suçlar , Dolandırıcılık Yönetimi ve Siber Suçlar
Veri Hırsızlığından Şüphelenilen Şirkette Eskiden Çalışan Çinli Geliştirici
Mathew J. Schwartz (euroinfosec) •
2 Aralık 2025
Güney Kore’nin en büyük çevrimiçi perakendecisi Coupang, ülke halkının çoğunu, verilerinin aylarca süren büyük bir ihlal nedeniyle açığa çıktığı konusunda uyarıyor.
Ayrıca bakınız: Ping Kimliği: Her Dijital Ana Güvenin
Coupang, ihlalin yurt dışındaki sunucular kullanılarak gerçekleştirilmiş gibi göründüğünü, 24 Haziran’da başladığını ve geçen aya kadar devam ettiğini söyledi. 52 milyon nüfuslu ülkede 33,7 milyon müşteriye ait bilgilerin çalınmasına yol açtı.
Coupang’ın CEO’su Park Dae-jun, Pazar günü şirketin web sitesinde yayınlanan bir açıklamada, “Coupang şu anda müşteri verilerini gelecekteki olaylardan daha iyi korumak için mevcut veri güvenlik cihazları ve sistemlerinde yapılan değişiklikleri gözden geçiriyor” dedi.
Şirket, ifşa edilen bilgilerin isimleri, e-posta adreslerini, telefon numaralarını, teslimat adreslerini ve bazı sipariş bilgilerini içerdiğini söyledi. Şifrelerin ve diğer hesap bilgilerinin, ödeme ayrıntılarının ve ödeme kartının ifşa edilmediği belirtildi.
Şirket, araştırmaya devam ettiği ihlalin ardından gelişmiş siber güvenlik savunmaları uygulamaya koyduğunu söyledi. Bilgi Güvenliği Medya Grubu’na konuşan bir sözcü, “Coupang yetkisiz erişim yolunu engelledi, dahili izlemeyi güçlendirdi ve önde gelen bağımsız bir güvenlik firmasından uzmanları görevlendirdi.” dedi.
İhlal mağdurlarının sayısı ülke nüfusunun üçte ikisine eşittir.
Devlete bağlı haber ajansı Yonha’nın bildirdiğine göre ihlal, şüpheli eski bir çalışanın şirketle temasa geçerek 30 milyondan fazla müşteriye ait çalınan verilerin yayınlanmayacağına dair söz karşılığında bir ödeme talep etmesiyle ortaya çıktı.
Yonha’nın haberine göre, müfettişler eski çalışanın ülkeden kaçan bir Çin vatandaşı olduğuna inanıyor.
Park, Salı günü yapılan parlamento duruşmasında yasa koyuculara, şüpheli bilgisayar korsanının, kullanıcıları doğrulamak için tasarlanmış sistemler için geliştirici olarak çalıştığını söyledi. Yonhap, şüphelinin suç ortaklarının olup olmadığının bilinmediğini bildirdi.
Hükümet hızlı bir soruşturma sözü verdi. Yonha’nın haberine göre, Salı günü Güney Kore Devlet Başkanı Lee Jae Myung, “Kazanın nedenini hızlı bir şekilde belirlemeli ve kesinlikle hesap verebilirlik talep etmeliyiz” dedi ve ihlalin keşfedilmeden önce beş ay boyunca devam etmesi karşısında şok olduğunu ekledi.
2010 yılında kurulan Coupang, genellikle Güney Kore’nin Amazon’u olarak tanımlanıyor ve popüler bir Rocket Fast teslimat hizmeti yürütüyor. 30 Haziran itibarıyla şirket, yıllık %10 artışla 24,7 milyon aktif müşteriye ulaştı.
Güney Kore’nin bağımsız gizlilik gözlemcisi Kişisel Bilgilerin Korunması Komisyonu, Coupang’dan iki ihlal bildirimi aldığını söyledi: 20 Kasım’da 4.500 kişinin etkilendiğini bildiren rapor ve Cumartesi günü revize edilen kurban sayısıyla birlikte “Coupang hakkında hızlı, kapsamlı ve titiz bir soruşturma” başlatıldı.
Komisyon, şirketin erişim kontrolleri, erişim hakları yönetimi ve şifreleme gibi güvenlik önlemlerine ilişkin yükümlülüklerini ihlal edip etmediğine odaklanacağını söyledi. Geçtiğimiz hafta sonu, Güney Kore hükümet yetkilileri birden fazla devlet kurumunu, polisi ve komisyonu kapsayan “üst düzey bir acil müdahale toplantısı” düzenlediklerini söyledi.
Düzenleyicilerin veri güvenliği eksikliklerini tespit etmesi durumunda e-ticaret devi ciddi para cezalarıyla karşı karşıya kalabilir.
Bakanlığın Kore İnternet ve Güvenlik Ajansı, Coupang müşterilerini çalınan verileri kullanan olası kimlik avı saldırılarına karşı dikkatli olmaları konusunda uyardı.
New York Menkul Kıymetler Borsası’nda CPNG sembolü altında işlem gören Coupang’ın hisseleri, ihlal haberinin gün yüzüne çıkmasının ardından yüzde 7 değer kaybetti.
Buna rağmen Wall Street analistleri, Coupang’ın e-ticaret pazarındaki hakim konumu göz önüne alındığında, ihlalin müşteri kaybı açısından minimum düzeyde etki yaratacağını öngörüyor. Reuters’in haberine göre JPMorgan, bir raporunda, etkilenen müşterilere gönüllü olarak tazminat ödemeyi tercih etmesi veya PIPC’nin para cezası uygulaması halinde şirket için “bir defaya mahsus önemli bir zararın meydana gelebileceğini” söyledi.
Chosun Daily’nin haberine göre, 14 Coupang kullanıcısı Seul Merkez Bölge Mahkemesinde şirkete her biri 137 dolar talep ederek dava açtı. Şikayette, sızdırılan ev adresleri ve satın alma geçmişlerinin, gizlilik ihlalleri ve sesli kimlik avı gibi olası ikincil zararlarla ilgili endişeleri artırdığı öne sürülüyor. Hukuk gözlemcileri gazeteye, ihlalin Güney Kore tarihinde kişisel verilerle ilgili en büyük toplu davaya yol açabileceğini söyledi.
Soruşturmalar devam ederken Coupang, olayın Güney Kore’nin en kritik dijital ticaret platformlarında daha derin yönetim başarısızlıklarını ortaya çıkardığını söyleyen düzenleyici kurumların, müşterilerin ve sektör uzmanlarının artan baskısıyla karşı karşıya.
Coupang’ın ihlali, Güney Korelileri etkileyen diğer iki büyük ihlalin ardından geldi.
Ülkenin en büyük cep telefonu operatörü Güney Kore Telekom, Nisan ayında abone bilgilerini açığa çıkaran bir veri ihlali yaşadığını bildirdi. Telekom daha sonra saldırganların 23 milyondan fazla aboneye ait kişisel bilgilere erişim elde ettiğini söyledi. Ağustos ayında gizlilik komisyonu, veri güvenliği ihlalleri nedeniyle SK Telecom’a 97 milyon dolar para cezası verdi.
Düzenleyiciler ayrıca Perşembe günü bilgisayar korsanlarının Solana’ya bağlı 44,5 milyar won (31 milyon dolar) değerindeki varlıkları çaldığını bildiren Dunamu’ya ait ülkenin en büyük kripto para borsası Upbit’in ihlalini de araştırıyor. Şirket, etkilenen tüm kripto sahiplerine kendi varlıklarını kullanarak tazminat ödeyeceğini söyledi. Güney Koreli hükümet yetkilileri Cuma günü saldırıyı Kuzey Kore’nin Lazarus Grubuna bağladı.
Hindistan’ın Bengaluru kentindeki Prajeet Nair’in raporuyla.