Fuite de données par initié chez Coupang (2025)
Un ancien employé de Coupang a accédé aux données personnelles de 33,7 millions de comptes clients de la plus grande plateforme e-commerce de Corée du Sud. Coupang a annoncé un plan d'indemnisation de 1,17 milliard de dollars ; le responsable de son e-commerce coréen a démissionné.
- Victime
- Coupang
- Perte
- $1.17B
- données
- 33.7M
- utilisateurs
- 33.7M
En novembre 2025, Coupang — le plus grand distributeur en ligne de Corée du Sud, souvent décrit comme l'Amazon du pays — a révélé qu'un ancien employé avait accédé aux données personnelles de 33,7 millions de comptes clients, dans ce qui est devenu l'un des incidents de gouvernance des données les plus marquants de l'histoire sud-coréenne.
Ce qui s'est passé
L'accès non autorisé a commencé le 24 juin 2025, lorsque les identifiants d'un ancien employé de Coupang — un ancien employé de nationalité chinoise désormais résident à l'étranger — ont été utilisés pour interroger la base de données clients de Coupang depuis des serveurs situés à l'étranger. L'activité est passée inaperçue pendant plus de quatre mois.
Coupang a détecté un accès inhabituel le 6 novembre 2025 et a retracé le dernier jour de l'intrusion au 8 novembre. Après le périmétrage interne terminé le 18 novembre, l'entreprise a divulgué publiquement la fuite le 29 novembre 2025.
Les données exposées comprenaient noms, numéros de téléphone, adresses e-mail, adresses de livraison et historiques de commandes. Les cartes de paiement, les données bancaires et les identifiants de connexion ne figuraient pas dans le jeu de données concerné.
Impact
- 33,7 millions de comptes clients exposés — bien plus de la moitié de la population sud-coréenne.
- Coupang a annoncé un plan d'indemnisation de 1 690 milliards de wons (~1,17 milliard de dollars) : chaque client concerné reçoit un bon d'achat unique utilisable uniquement sur la plateforme d'une valeur d'environ 50 000 wons.
- Park Dae-jun, responsable des opérations e-commerce coréennes de Coupang, a démissionné à la mi-décembre 2025.
- L'incident est devenu un point focal du débat sud-coréen sur la réforme de la gouvernance des données et a accéléré les appels à des contrôles plus stricts sur l'accès des initiés dans les entreprises de plateformes.
Pourquoi c'est important
Coupang n'a pas été victime d'une faille zero-day ni d'un APT étatique — l'entreprise est tombée à cause d'un identifiant qui aurait dû être révoqué au départ de son propriétaire. Le délai de quatre mois entre l'accès non autorisé et la détection a placé le sous-investissement dans la surveillance des menaces internes au centre du débat. L'ampleur du programme d'indemnisation — plus d'un milliard de dollars en bons d'achat utilisables uniquement en magasin — figure également parmi les plus importants efforts de restitution du secteur privé jamais enregistrés.
Chronologie
L'accès non autorisé aux données clients débute via des serveurs à l'étranger, à l'aide des identifiants d'un ancien employé.
Coupang détecte un accès inhabituel à 18h38 KST.
Dernier jour d'accès non autorisé.
Ampleur totale de la fuite identifiée en interne.
Coupang divulgue publiquement la fuite : 33,7 millions de comptes clients touchés.
Park Dae-jun, responsable des opérations e-commerce sud-coréennes de Coupang, démissionne sous la pression publique.
Démarrage du plan d'indemnisation : chaque client concerné reçoit un bon d'achat unique d'environ 50 000 wons (~34,84 $) utilisable sur la plateforme ; valeur totale du programme 1 690 milliards de wons (~1,17 milliard de dollars).
Sources
- incyber.orghttps://incyber.org/en/article/south-korea-data-breach-exposes-33-7-million-coupang-accounts/
- securityaffairs.comhttps://securityaffairs.com/186331/security/coupang-announces-1-17b-compensation-plan-for-33-7m-data-breach-victims.html
- securityweek.comhttps://www.securityweek.com/coupang-to-issue-1-17-billion-in-vouchers-over-data-breach/
- thediplomat.comhttps://thediplomat.com/2026/03/coupangs-data-breach-and-the-urgency-of-data-governance-reform-in-south-korea/