Coreia do Sul aplica multa recorde de US$ 409 milhões à Coupang por mega vazamento que expôs 65% da população

O regulador sul-coreano de proteção de dados (PIPC) impôs uma multa recorde de 624,7 bilhões de wons (US$ 409 milhões) à Coupang, maior varejista online do país, após investigação concluir que o vazamento que comprometeu dados pessoais de mais de 37 milhões de pessoas — equivalente a cerca de 65% da população sul-coreana — decorreu de deficiências básicas de segurança, não de hacking sofisticado. É a maior penalidade já aplicada pelo órgão por violação de dados pessoais.

O que aconteceu

A investigação do PIPC confirmou que 33.222.472 membros registrados foram afetados, mas também identificou uma categoria de vítimas que a empresa não havia reconhecido publicamente: pelo menos 4.338.368 não-membros — pessoas cujos nomes, telefones e endereços foram armazenados como destinatários de entrega por outros clientes e que sequer sabiam que a Coupang possuía esses dados. O regulador recomendou formalmente quatro vezes, entre dezembro de 2025 e janeiro de 2026, que a empresa notificasse esses não-membros. A Coupang ignorou todas as recomendações.

A multa supera o recorde anterior — 134,8 bilhões de wons (US$ 88,8 milhões) aplicado à SK Telecom no início deste ano — e marca uma escalada significativa na postura regulatória sul-coreana frente a empresas de tecnologia. As ações da Coupang acumulam queda de cerca de 35% desde o início do ano.

Como o ataque aconteceu

O autor do ataque, um ex-funcionário não identificado de nacionalidade chinesa que deixou a Coupang no final de 2024, foi ele próprio o desenvolvedor do sistema de autenticação alternativo que veio a explorar. Antes de sair, roubou a chave de assinatura que sustentava esse sistema — uma falha de offboarding clássica que combinou conhecimento interno profundo com ausência de revogação de credenciais sensíveis.

O ataque começou em janeiro de 2025 com um teste em 95 contas. A partir de abril, o ex-funcionário passou a iterar sistematicamente pelos IDs numéricos dos membros, acessando a página de endereços de entrega aproximadamente 148 milhões de vezes em dois meses para coletar nomes, telefones e endereços. Em seguida, atacou a página de edição de conta com quase 35 milhões de acessos entre junho e outubro, coletando nomes e e-mails. Uma fase final adicionou códigos de entrada de apartamentos e históricos de pedidos.

“O vazamento decorreu não de hacking sofisticado, mas de deficiências em gestão básica de segurança.” — Personal Information Protection Commission (PIPC), Coreia do Sul

Durante os sete meses do ataque, o tráfego nas páginas exploradas chegou a múltiplos da carga normal e dezenas de milhões de tentativas de acesso usaram IDs inexistentes — sinais clássicos de enumeração que qualquer SIEM corporativo razoavelmente configurado teria detectado. A Coupang não detectou nada até que um cliente encaminhou um dos e-mails de extorsão enviados pelo atacante.

Os agravantes regulatórios

O PIPC referiu a Coupang ao Ministério Público por destruição de provas. Reguladores ordenaram a preservação de logs em 21 de novembro — um dia após a empresa reportar o incidente. Seis dias depois, a Coupang apagou manualmente cerca de seis meses de logs de acesso web. A empresa também não pausou sua política de exclusão automática de logs após seis meses, resultando na perda de cerca de 13% dos registros do período do ataque, o que impossibilitou identificar todas as vítimas afetadas.

• Coleta secreta de atividade de navegação de terceiros (URLs, IPs, identificadores de dispositivo) de cerca de 11,2 milhões de usuários via programa “Coupang Partners”, sem consentimento — multa adicional de US$ 132 milhões
• Parceiros publicitários conhecidos por usar “hijack ads” foram mantidos no programa, com algumas contas inclusive recebendo comissões aumentadas
• Lista de 71 jornalistas que cobriam a polícia foi secretamente adicionada a uma blacklist interna de contratação, embora nunca tivessem trabalhado para a empresa
• Dados de peso de funcionários, coletados para gestão de saúde, foram submetidos como prova em processo trabalhista sem base legal
• O Chief Privacy Officer da empresa foi deliberadamente excluído da investigação interna do incidente — violação substantiva da independência legalmente exigida do cargo
• Um MacBook Air do suspeito, pesado com tijolos para destruição, foi recuperado em um rio pela polícia; análise forense foi feita por Mandiant, Palo Alto Networks e Ernst & Young

Análise

O caso Coupang é um manual de tudo o que pode dar errado quando segurança não é prioridade no offboarding e na arquitetura. O atacante era ex-engenheiro, conhecia o sistema de autenticação porque o construiu, e tinha em mãos uma chave de assinatura que nunca foi rotacionada após sua saída. A escala — quase 148 milhões de requisições enumerando IDs — só foi possível porque não havia rate limiting efetivo, detecção de comportamento anômalo nem alertas de uso de credenciais que deveriam estar revogadas. Isso não é um ataque sofisticado de APT; é uma soma de controles básicos ausentes que qualquer auditoria padrão SOC 2 ou ISO 27001 deveria flagrar.

Para o cenário brasileiro, o caso traz uma mensagem clara: a ANPD vem ganhando músculo regulatório, e a tendência global — vista também no GDPR europeu e agora no PIPC sul-coreano — é de multas que efetivamente doem no caixa, não simbólicas. O agravante regulatório aqui não foi só o vazamento em si, mas a cadeia de violações posteriores: destruição de evidências, não notificação de vítimas, exclusão do DPO, coleta secreta de dados de navegação. Empresas brasileiras que ainda tratam a LGPD como exercício de conformidade documental, sem mudanças reais em arquitetura, deveriam ler este caso com atenção.

Recomendações práticas

• Implemente rotação obrigatória de chaves de assinatura e tokens sensíveis ao desligamento de qualquer engenheiro com acesso a sistemas de autenticação
• Configure rate limiting agressivo em endpoints que retornam dados pessoais via ID numérico — enumeração de 148 milhões de requisições é impossível com 10 req/s por IP
• Estabeleça preservação imediata e automática de logs ao primeiro indício de incidente — apagar logs manualmente após notificação regulatória é crime em várias jurisdições
• Documente o papel do Encarregado de Proteção de Dados (DPO) como independente e blindado de pressões internas durante investigações
• Catalogue dados de não-titulares (entregas, indicações, contatos secundários) — eles têm direitos sob LGPD e precisam ser notificáveis
• Audite programas de afiliados e publicidade comportamental — coleta de dados de navegação sem consentimento expresso é alvo prioritário de fiscalização
• Faça revisão anual de chaves criptográficas que sustentam sistemas de autenticação alternativos e fluxos de SSO

Fonte: The Record