Skip to content
Menace interneContenu

Fuite de données par initié chez Coupang (2025)

Un ancien employé de Coupang a accédé aux données personnelles de 33,7 millions de comptes clients de la plus grande plateforme e-commerce de Corée du Sud. Coupang a annoncé un plan d'indemnisation de 1,17 milliard de dollars ; le responsable de son e-commerce coréen a démissionné.

Victime
Coupang
Perte
$1.17B
données
33.7M
utilisateurs
33.7M

En novembre 2025, Coupang — le plus grand distributeur en ligne de Corée du Sud, souvent décrit comme l'Amazon du pays — a révélé qu'un ancien employé avait accédé aux données personnelles de 33,7 millions de comptes clients, dans ce qui est devenu l'un des incidents de gouvernance des données les plus marquants de l'histoire sud-coréenne.

Ce qui s'est passé

L'accès non autorisé a commencé le 24 juin 2025, lorsque les identifiants d'un ancien employé de Coupang — un ancien employé de nationalité chinoise désormais résident à l'étranger — ont été utilisés pour interroger la base de données clients de Coupang depuis des serveurs situés à l'étranger. L'activité est passée inaperçue pendant plus de quatre mois.

Coupang a détecté un accès inhabituel le 6 novembre 2025 et a retracé le dernier jour de l'intrusion au 8 novembre. Après le périmétrage interne terminé le 18 novembre, l'entreprise a divulgué publiquement la fuite le 29 novembre 2025.

Les données exposées comprenaient noms, numéros de téléphone, adresses e-mail, adresses de livraison et historiques de commandes. Les cartes de paiement, les données bancaires et les identifiants de connexion ne figuraient pas dans le jeu de données concerné.

Impact

  • 33,7 millions de comptes clients exposés — bien plus de la moitié de la population sud-coréenne.
  • Coupang a annoncé un plan d'indemnisation de 1 690 milliards de wons (~1,17 milliard de dollars) : chaque client concerné reçoit un bon d'achat unique utilisable uniquement sur la plateforme d'une valeur d'environ 50 000 wons.
  • Park Dae-jun, responsable des opérations e-commerce coréennes de Coupang, a démissionné à la mi-décembre 2025.
  • L'incident est devenu un point focal du débat sud-coréen sur la réforme de la gouvernance des données et a accéléré les appels à des contrôles plus stricts sur l'accès des initiés dans les entreprises de plateformes.

Pourquoi c'est important

Coupang n'a pas été victime d'une faille zero-day ni d'un APT étatique — l'entreprise est tombée à cause d'un identifiant qui aurait dû être révoqué au départ de son propriétaire. Le délai de quatre mois entre l'accès non autorisé et la détection a placé le sous-investissement dans la surveillance des menaces internes au centre du débat. L'ampleur du programme d'indemnisation — plus d'un milliard de dollars en bons d'achat utilisables uniquement en magasin — figure également parmi les plus importants efforts de restitution du secteur privé jamais enregistrés.

Chronologie

  1. L'accès non autorisé aux données clients débute via des serveurs à l'étranger, à l'aide des identifiants d'un ancien employé.

  2. Coupang détecte un accès inhabituel à 18h38 KST.

  3. Dernier jour d'accès non autorisé.

  4. Ampleur totale de la fuite identifiée en interne.

  5. Coupang divulgue publiquement la fuite : 33,7 millions de comptes clients touchés.

  6. Park Dae-jun, responsable des opérations e-commerce sud-coréennes de Coupang, démissionne sous la pression publique.

  7. Démarrage du plan d'indemnisation : chaque client concerné reçoit un bon d'achat unique d'environ 50 000 wons (~34,84 $) utilisable sur la plateforme ; valeur totale du programme 1 690 milliards de wons (~1,17 milliard de dollars).

Sources

  1. incyber.orghttps://incyber.org/en/article/south-korea-data-breach-exposes-33-7-million-coupang-accounts/
  2. securityaffairs.comhttps://securityaffairs.com/186331/security/coupang-announces-1-17b-compensation-plan-for-33-7m-data-breach-victims.html
  3. securityweek.comhttps://www.securityweek.com/coupang-to-issue-1-17-billion-in-vouchers-over-data-breach/
  4. thediplomat.comhttps://thediplomat.com/2026/03/coupangs-data-breach-and-the-urgency-of-data-governance-reform-in-south-korea/

Incidents liés

Menace interneRésolu

Fuite de données clients de Yandex.Eda

Le service de livraison de repas de Yandex, Yandex.Eda, a divulgué les noms, numéros de téléphone, adresses, codes d'interphone et détails de commande de plus de 58 000 clients, ensuite reportés sur un site web public interactif. Le régulateur russe Roskomnadzor a ouvert une procédure et un tribunal de Moscou a infligé à l'entreprise une amende de 60 000 roubles.

Victim
Yandex.Eda
Loss
$700
Records
58.0K
Menace interneRésolu

Violation interne de la messagerie Yandex

Yandex a révélé que l'un des trois administrateurs disposant d'un accès privilégié à son service de messagerie vendait un accès non autorisé aux boîtes mail des utilisateurs, compromettant 4 887 boîtes avant que l'équipe de sécurité interne ne détecte l'abus lors d'un contrôle de routine.

Victim
Yandex
Records
4.9K
Menace interneRésolu

Vol de données de cartes du Korea Credit Bureau

Un sous-traitant du Korea Credit Bureau a copié sur une clé USB les données de cartes et d'identité d'environ 20 millions de clients des émetteurs KB Kookmin, Lotte et NH Nonghyup, puis les a revendues — l'un des plus grands vols de données financières de l'histoire de la Corée du Sud.

Victim
Korea Credit Bureau (KCB) / unités cartes KB Kookmin, Lotte, NH Nonghyup
Records
20.0M
Bourrage d’identifiantsEn cours

FortiBleed : un jeu de données fuite les identifiants VPN de ~74 000 pare-feu Fortinet

Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.

Victim
Organizations running Fortinet FortiGate firewalls worldwide