Hôm thứ Ba, Hàn Quốc yêu cầu Coupang khẩn trương khắc phục các lỗ hổng bảo mật sau khi một cuộc điều tra của chính phủ liên kết vụ rò rỉ dữ liệu lớn với những sai sót trong hệ thống xác thực người dùng của công ty.
Coupang là một trong những nạn nhân của vụ rò rỉ dữ liệu tồi tệ nhất tại Hàn Quốc, và điều này đã làm gia tăng căng thẳng thương mại với Mỹ sau khi các quan chức ở Washington bày tỏ lo ngại về cách đối xử với các công ty công nghệ của Mỹ.
Giờ đây, những phát hiện này tạo thêm áp lực lên gã khổng lồ thương mại điện tử khi các cơ quan quản lý xem xét kỹ lưỡng cách thức bảo vệ và báo cáo dữ liệu cá nhân. Điều này cũng diễn ra trong bối cảnh cả cảnh sát và cơ quan giám sát dữ liệu quốc gia tiếp tục điều tra vụ việc.
Công cụ dò tìm xác định các lỗi xác thực
Bộ Khoa học và Công nghệ Thông tin cho biết vào đầu tháng 1 năm 2025 rằng một cá nhân đang cố gắng truy cập trái phép vào hệ thống của Coupang bằng cách khai thác các vấn đề về khả năng sử dụng liên quan đến xác thực. Các nhà điều tra lưu ý rằng điều này xảy ra trước khi có bất kỳ dấu hiệu nào về việc vi phạm được công khai.
"Kẻ tấn công đã lợi dụng các lỗ hổng xác thực người dùng để truy cập vào tài khoản người dùng mà không cần đăng nhập đúng cách và gây ra rò rỉ thông tin trái phép trên quy mô lớn", Bộ cho biết.
Họ đã xác định được rằng cá nhân này đã có thể truy cập trái phép vào tài khoản người dùng thông qua việc khai thác các lỗ hổng trong quy trình xác thực, dẫn đến việc rò rỉ thông tin bí mật của khoảng 33,7 triệu khách hàng.
Bộ này xác định rằng vụ rò rỉ dữ liệu bắt nguồn từ việc lạm dụng khóa ký bảo mật nội bộ của một nhân viên nhằm tạo ra các mã xác thực giả mạo bởi một nhân viên đã nghỉ việc vào tháng 11 năm 2024.
Thông báo cho biết nhân viên này đã thiết kế và phát triển một phần quy trình xác minh người dùng của Coupang, và công ty đã không cung cấp đủ biện pháp bảo vệ để ngăn chặn nhân viên này truy cập vào dữ liệu tài khoản bí mật của khách hàng.
Bộ này cho biết: “Hệ thống xác minh thẻ điện tử giả mạo hoặc bị sửa đổi còn chưa đầy đủ, khiến việc phát hiện hoặc Block các cuộc tấn công từ trước trở nên khó khăn”.
Vào tháng 12 năm 2025, Coupang xác nhận sẽ bồi thường cho khách hàng bị ảnh hưởng bởi vụ rò rỉ dữ liệu người dùng gần đây, cam kết hơn 1,17 tỷ đô la dưới dạng phiếu giảm giá. Công ty nhấn mạnh rằng vụ rò rỉ chỉ ảnh hưởng đến tên khách hàng, địa chỉ email, một số lịch sử đơn hàng và địa chỉ nhà, chứ không ảnh hưởng đến thông tin thanh toán và đăng nhập.
Các cơ quan quản lý yêu cầu nâng cấp hệ thống Coupang.
Các nhà chức trách đã yêu cầu Coupang triển khai công nghệ tiên tiến cho phép phát hiện và chặn các thẻ truy cập điện tử được cấp ngoài quy trình phát hành tiêu chuẩn.
“Bộ Nội vụ và An ninh đã chỉ đạo Coupang lắp đặt các thiết bị phát hiện và vô hiệu hóa đối với các thẻ ra vào điện tử không được cấp theo quy trình cấp phát thông thường”, bộ này cho biết.
Cảnh sát và Cơ quan Bảo vệ Dữ liệu Cá nhân đã tiến hành các cuộc điều tra độc lập về vụ việc được cho là đã xảy ra.
Bộ Nội vụ cũng cáo buộc Coupang vi phạm luật mạng thông tin vì không báo cáo sự việc trong thời hạn 24 giờ theo quy định. Cơ quan quản lý cho rằng công ty đã biết về vụ xâm nhập xảy ra vào ngày 17 tháng 11, nhưng họ không báo cáo gì cho đến ngày 19 tháng 11.
Bộ hiện đang xem xét liệu có nên áp dụng hình phạt hành chính lên tới 30 triệu won (20.596 đô la Mỹ) hay không. Bộ đã chuyển cáo buộc về việc hủy hoại dữ liệu cho bộ phận có thẩm quyền để xem xét. Ông Coupang chưa đưa ra bất kỳ tuyên bố công khai nào về kết quả điều tra.
