Coupang confirma vazamento: 33,7 milhões de registros expostos por credenciais internas | Vazamento de dados

Coupang confirmou que cerca de 33,7 milhões de clientes tiveram nomes, telefones, e‑mails, endereços e históricos de pedidos expostos após um ex‑funcionário explorar chaves internas não revogadas para gerar tokens de acesso; investigação policial e regulatória em curso.

A varejista online sul‑coreana Coupang confirmou um incidente que expôs dados pessoais de aproximadamente 33,7 milhões de clientes, número que corresponde à quase totalidade da base de usuários da empresa.

Resumo do incidente

Segundo comunicados e apurações relatadas, o acesso não autorizado começou em 24 de junho de 2025 e permaneceu sem detecção até 18 de novembro, quando atividade anômala foi identificada. Inicialmente a companhia estimou que cerca de 4.500 contas haviam sido afetadas, mas investigação interna subsequente revelou a extensão real: cerca de 33,7 milhões de registros acessados por meio de uma conexão de Internet no exterior.

Vetor e causa técnica reportada

As investigações apontam que um ex‑funcionário manteve credenciais e chaves internas que não foram revogadas — especificamente, chaves de assinatura criptográfica usadas para gerar tokens de acesso. O suspeito, descrito nas matérias como um antigo empregado de nacionalidade chinesa que atuava em áreas de autenticação, teria utilizado essas chaves válidas para produzir tokens que bypassaram procedimentos normais de autenticação e permitiram acesso remoto aos dados.

Dados acessados e limites

Coupang declarou que foram expostos nomes, números de telefone, endereços de e‑mail, endereços de entrega e históricos de pedidos. A empresa afirmou que dados financeiros sensíveis (números de cartão de crédito) e senhas de conta não foram comprometidos, conforme as fontes que cobriram o caso.

Investigação e consequências regulatórias

A Seoul Metropolitan Police Agency está examinando logs de servidores e colaborando com agências internacionais para rastrear o IP utilizado. O incidente também atrairá atenção regulatória: sob a Personal Information Protection Act da Coreia do Sul, multas podem chegar a até 3% da receita média anual da empresa. Com base em números recentes de receita, a multa estimada em reportagem pode alcançar 1 trilhão de won (aprox. US$680 milhões) — valor que, se confirmado, superaria penalidades anteriores recorde.

Comunicação e medidas imediatas

Coupang informou que está notificando os usuários afetados por e‑mail e SMS e coopera com a Personal Information Protection Commission e o Korea Internet & Security Agency (KISA). A empresa orientou os clientes a ficarem atentos a tentativas de phishing mascaradas como comunicações oficiais, embora tenha declarado que não há ações adicionais específicas a tomar sobre as contas segundo a sua avaliação inicial.

O que falta apurar

As matérias não detalham se houve exfiltração massiva de dados para repositórios públicos ou vendas em mercados, nem especificam a lista completa de credenciais internas que permaneceram ativas. Também não há, nas fontes, confirmação sobre medidas de hardening implementadas no IAM (Identity and Access Management) após a descoberta.

As informações públicas indicam uma falha de gestão de chaves/credenciais internas como raiz do incidente; a investigação policial e as agências reguladoras conduzirão a análise forense e a avaliação de sanções.