Ein staatliches und privates Ermittlungsteam bestätigte am Dienstag, dass bei der massiven Datenpanne des US-amerikanischen E-Commerce-Riesen Coupang im vergangenen Jahr mehr als 33 Millionen Benutzerdatensätze von Kunden in Korea, einschließlich Namen und E-Mail-Adressen, offengelegt wurden.
Die Bestätigung deutete darauf hin, dass das Unternehmen versuchte, den Vorfall herunterzuspielen, indem es zunächst behauptete, nur etwa 3.000 Datensätze seien kompromittiert worden, und später 165.000 weitere hinzufügte.
Nach Angaben des Ministeriums für Wissenschaft und IKT, das das Team leitete, ergab die Untersuchung, dass insgesamt 33,67 Millionen Benutzerdatensätze kompromittiert worden waren und dass auf die Lieferlistenseite des Unternehmens mit Namen, Telefonnummern, Lieferadressen und anonymisierten Wohnungseingangspasswörtern 148 Millionen Mal illegal zugegriffen wurde.
„Die untersuchte Organisation (Coupang) hat ihre eigenen Behauptungen aufgestellt und ihr eigenes Untersuchungsergebnis vorgelegt“, sagte Choi Woo-hyuk, Leiter des Büros für Cybersicherheit und Netzwerkpolitik des Ministeriums, bei einem Briefing in Seoul.
„Coupangs Zahl von 3.000 Datensätzen ist die Behauptung des Unternehmens und dient nur als Referenz. Wir haben alle Materialien unabhängig überprüft. Wir haben die Server von Coupang untersucht, um festzustellen, auf wie viele Daten externe Angreifer zugegriffen haben und wie viele durchgesickert sind.“
Laut Choi bestätigte das Ministerium, dass es sich bei dem „Angreifer“ um einen ehemaligen Coupang-Mitarbeiter handelte, der Benutzerauthentifizierungssoftware entwickelt hatte. Die Person stahl einen Signaturschlüssel aus einem Authentifizierungssystem, führte Tests für den Angriff durch und kopierte dann mithilfe von Web-Crawling-Tools große Datenmengen.
Durch diese Methode griff der Angreifer auch nach seinem Ausscheiden aus dem Unternehmen auf die Dienste von Coupang zu und schickte Droh-E-Mails an die Firmenzentrale. Das Team bestätigte außerdem, dass der Angreifer über ein System verfügte, mit dem die durchgesickerten Daten an Cloud-Server im Ausland übertragen werden konnten, sagte jedoch, es bleibe unklar, ob tatsächlich Daten übertragen wurden.
Das Untersuchungsteam sagte, dass die internen Regeln von Coupang vorsähen, dass Signaturschlüssel nur innerhalb des Managementsystems und nicht auf den persönlichen PCs der Mitarbeiter gespeichert werden dürften, fügte jedoch hinzu, dass Fälle gefunden wurden, in denen aktuelle Coupang-Entwickler Signaturschlüssel auf ihren Laptops gespeichert hatten.
„Das Team hat Mängel bei der Verwaltung von Authentifizierungssystemen und Signaturschlüsseln festgestellt“, sagte Choi. „Dies ist ein klares Versagen des Managements von Coupang, kein raffinierter Angriff.“
Das Ministerium sagte, Coupang habe den Vorfall trotz entsprechender Vorschriften auch nicht unverzüglich den zuständigen Behörden gemeldet. Es fügte hinzu, dass gegen das Unternehmen wegen verspäteter Meldung eine Geldstrafe verhängt und eine förmliche Untersuchung eingeleitet werde, und betonte, dass das Unternehmen trotz einer früheren Aufforderung keine wichtigen Beweise gesichert habe.
Die Untersuchungsergebnisse kamen etwa drei Monate, nachdem Coupang am 17. November Kenntnis von dem Verstoß erlangt hatte. Zwar gab es Spekulationen darüber, dass die Ankündigung des Teams aufgrund von Bedenken wegen des US-Handelsdrucks und der Behauptung amerikanischer Politiker, die koreanische Regierung diskriminiere ein amerikanisches Unternehmen, verzögert wurde, doch das Untersuchungsteam wies die Behauptungen rundweg zurück.
„Das Ermittlungsteam ist nie von Gesetzen und Grundsätzen abgewichen“, sagte Choi. „Wir haben kein Unternehmen anders behandelt und bleiben unserem Grundsatz treu, die Ergebnisse zeitnah und transparent offenzulegen, sobald sie vorliegen.“
https://www.koreatimes.co.kr/business/companies/20260210/korean-govt-confirms-3367-mil-user-records-leaked-in-coupang-breach