Der südkoreanische E-Commerce-Riese Coupang hat einen schwerwiegenden Datenverstoß bestätigt, der etwa 34 Millionen seiner koreanischen Kunden betrifft. Bei dem Vorfall, der sich über fünf Monate erstreckte, wurden persönliche Daten wie Namen, E-Mail-Adressen, Telefonnummern, Lieferadressen und Bestellhistorien kompromittiert.
Zeitrahmen und Umfang des Verstoßes
Coupang entdeckte verdächtige Aktivitäten erstmals am 18. November 2025, als festgestellt wurde, dass auf etwa 4.500 Benutzerkonten unbefugt zugegriffen wurde. Eine eingehendere Untersuchung ergab jedoch das tatsächliche Ausmaß des Verstoßes: 33,7 Millionen Kundendatensätze wurden offengelegt. Das Unternehmen behauptet, dass sensible Finanzdaten – wie Zahlungsinformationen und Anmeldedaten – nicht betroffen seien.
Reaktion und Untersuchung
Coupang hat den Vorfall den südkoreanischen Behörden gemeldet, darunter der Korea Internet & Security Agency (KISA), der Personal Information Protection Commission (PIPC) und der National Police Agency. Nach Angaben des Unternehmens kam es ab etwa dem 24. Juni 2025 zu unbefugten Zugriffen von ausländischen Servern. Coupang gibt an, seitdem den Zugangsweg blockiert und die Sicherheitsüberwachung mit Hilfe externer Experten verstärkt zu haben.
Verdächtiger identifiziert
Die Strafverfolgungsbehörden haben einen ehemaligen chinesischen Mitarbeiter von Coupang, der derzeit im Ausland lebt, als Verdächtigen des Verstoßes identifiziert. Die polizeilichen Ermittlungen begannen nach Coupangs erster Beschwerde im November.
Wiederkehrende Sicherheitsprobleme
Dieser Verstoß ist für Coupang kein Einzelfall. Das Unternehmen hat in den letzten Jahren mehrere Datenlecks erlebt, darunter Vorfälle in den Jahren 2020–2021 und eine neuere Kompromittierung von über 22.000 Kundeninformationen im Dezember 2023. Die wiederholten Verstöße geben Anlass zu Bedenken hinsichtlich der langfristigen Cybersicherheitslage von Coupang. Das Unternehmen ist nicht nur in Südkorea, sondern auch in Japan und Taiwan tätig, obwohl es behauptet, dass der jüngste Verstoß keine Daten aus diesen Regionen beeinträchtigt habe.
Der Vorfall unterstreicht die wachsende Bedrohung durch Cyberangriffe auf E-Commerce-Plattformen und die dringende Notwendigkeit robuster Datenschutzmaßnahmen. Da digitale Transaktionen zunehmen, steigt auch das Risiko groß angelegter Datenschutzverletzungen, sodass proaktive Sicherheit sowohl für Unternehmen als auch für Verbraucher unerlässlich ist.
