Le géant sud-coréen du e-commerce a confirmé qu’une violation de données avait exposé les données personnelles de 33,7 millions de comptes clients. Un ancien employé d’origine chinoise est accusé d’avoir utilisé une clé d’authentification restée active après la fin de son contrat pour accéder aux données.
Coupang, une société de commerce électronique connue pour son service ultra-rapide, a confirmé fin novembre 2025 une fuite massive de données ayant exposé les données personnelles de 33,7 millions de clients. Il s’agit de l’un des pires incidents cyber jamais enregistrés dans le pays.
Nom, email, téléphone…
Selon les premières investigations, les informations compromises comprennent les noms, adresses mail, numéros de téléphone, adresses postales de livraison et, dans certains cas, les historiques de commandes. En revanche, Coupang assure que les données bancaires et les identifiants de connexion n’ont pas été affectés.
Dans le détail, l’accès non autorisé aurait commencé le 24 juin 2025 via des serveurs situés à l’étranger. La fuite de données n’a été détectée que le 18 novembre dernier. Dans un premier temps, le géant de l’e-commerce avait annoncé que seulement 4500 comptes avaient été touchés, avant de réviser ce nombre à 33,7 millions.
A noter que Coupang comptait fin 2025 près de 24,7 millions de clients actifs, ce qui montre que la fuite dépasse le périmètre des utilisateurs récents.
Un ancien salarié dans le collimateur des autorités
Les autorités sud-coréennes ont ouvert une enquête. Les premières conclusions pointent du doigt la piste d’un ancien employé de Coupang, d’origine chinoise, qui aurait conservé une clé d’authentification active après son départ de l’entreprise et s’en serait servi pour accéder illégalement aux données.
L’annonce de la fuite a provoqué une chute de près de 9% de l’action Coupang avant l’ouverture des marchés américains.
Plusieurs zones d’ombre persistent, telles que l’identité exacte des auteurs et l’ampleur des données exfiltrées. Par ailleurs, Coupang n’a pas pour l’instant annoncé de mesures d’indemnisation pour les clients dont les données ont été volées et exposées à des risques de phishing notamment.
Coupang pourrait également être sanctionné pour ne pas avoir respecté la Personal Information Protection Act (PIPA), l’équivalent sud-coréen du Règlement général sur la protection des données (RGPD).
