Coupang’s Undetected 5 Month Breach Leaves 33.7M Users Exposed

韩国电商巨头Coupang已确认发生大规模数据泄露事件，约3370万个客户账户的个人信息遭到暴露。官方称这是韩国十多年来最严重的数据泄露事件。

该事件于2025年12月1日公开披露，入侵窗口期长达五个月，直到11月中旬才被发现。事件已引发刑事调查、监管审查、政治反弹，并对Coupang的市值造成严重冲击。

泄露事件概览：5个月窗口期，3370万账户，海外服务器

Coupang于11月18日首次发现异常，当时检测到大约4500个用户账户遭受了未经授权的访问。随后进行的更深入取证审查揭示，攻击者实际上访问了与韩国境内约3370万客户相关的数据。

关键时间线细节：

首次未经授权访问：据信始于2025年6月24日
基础设施：攻击流量通过海外服务器路由，增加了溯源难度
发现日期：2025年11月18日，在发现异常账户活动后
公开披露：2025年11月30日至12月1日的周末

近五个月的入侵窗口期是监管和政治批评的核心，总统李在明称公司未能及时发现如此长时间的入侵“令人震惊”。

泄露了哪些信息

Coupang已确认攻击者访问了大量客户身份和联系数据：

全名
电子邮件地址
手机/电话号码
配送和家庭地址
部分订单历史记录（购买商品、相关元数据）

同样重要的是Coupang声称未被泄露的信息：

支付卡号
其他支付信息
登录凭证和账户密码

公司坚称财务数据和身份验证密码仍然安全。

然而，从安全风险的角度来看，这仍然是一个高价值的身份数据集。姓名、电话号码、地址和订单模式的组合对于以下行为极为有用：

引用真实购买记录的高度个性化钓鱼攻击
冒充配送或退款流程的短信钓鱼
针对其他平台的账户接管进行社会工程攻击
利用详细个人资料进行的针对性欺诈和诈骗活动

作为背景，受影响的账户数量（约3370万）超过了Coupang报告的2470万活跃用户，这意味着休眠或不太活跃的账户也在此次暴露之列。

攻击如何实施

虽然完整的技术细节仍在浮出水面，但官员和Coupang高管的早期声明勾勒出一个明确的高风险模式：

调查人员认为攻击者使用了一个被盗的私人加密密钥来验证进入Coupang的系统。
主要嫌疑人据称是一名前中国籍Coupang工程师，据称其在离职后保留或滥用了访问权限。

从安全架构的角度来看，这表明存在几处安全控制失效：

密钥管理与保护 用于身份验证的私人加密密钥应受到严格控制、定期轮换并存储在强化的密钥管理系统（如HSM或同等系统）中。成功滥用此类密钥表明，要么密钥保管不善，要么在员工离职后轮换和撤销措施执行不力。

离职流程与特权身份管理 前员工的参与指向访问权限撤销和特权身份解除配置方面存在漏洞。成熟的组织会强制执行零常备特权、严格的离职检查清单以及实时撤销所有密钥和令牌。

网络与数据分段 能够提取数千万账户规模的数据，表明客户个人身份信息数据存储与更广泛的基础设施之间分段不足，一旦初始凭证被验证，攻击者便能获得广泛的数据访问权限。

行为与异常检测 五个月的检测延迟表明，用户和实体行为分析以及访问模式异常检测要么缺失，要么无效。长期从海外服务器访问，加上大规模数据查询，在一个成熟的安全运营中心通常应触发警报。

简而言之：这似乎是一起由薄弱密钥和身份治理以及晚期检测放大的、典型的内部人员协助的泄露事件。

Coupang的响应：遏制、外部取证和公开道歉

事件被发现后，Coupang表示已立即采取了几项行动：

阻止了通过海外服务器使用的未经授权访问途径
加强了对访问和数据流的内部监控
聘请了一家独立安全公司来支持取证和补救工作
向韩国主要当局报告了此事件，包括：
- 韩国互联网与安全局
- 个人信息保护委员会
- 国家警察厅

首席执行官朴大俊在Coupang网站上发表了正式道歉，对事件表示遗憾，并承诺与调查人员和监管机构充分合作。

尽管发表了道歉声明，但公司不仅面临关于泄露如何发生的质疑，还包括为何一个如此规模的平台缺乏足够遥测和控制来更早地遏制它。

监管与政治后果：迈向万亿韩元罚款

此次泄露事件迅速升级为一项国家政策议题。

总统李在明已下令迅速采取行动惩罚责任人，呼吁审查对企业数据保护失职行为的更高罚款和惩罚性赔偿。
现行法律允许罚款最高可达年收入的3%。对Coupang而言，在极端情况下，这可能意味着潜在的罚款超过1万亿韩元（约合6.8亿美元）。
政府已将个人数据定义为“人工智能和数字化时代的关键资产”，并认为该领域的公司疏忽不能再被容忍为商业成本。

监管机构正在审查Coupang是否违反了韩国的个人信息保护规则，特别是在以下方面：

泄露事件的及时发现和披露
对大规模个人身份信息数据集足够的技术保障措施
加密密钥和访问令牌的安全处理
前员工的离职流程和残留访问控制

创纪录的规模、漫长的暴露窗口期以及内部人员迹象的结合，使此案成为为韩国科技行业树立罚款和合规期望新先例的主要候选案例。

市场影响：股价下跌、诉讼风险和信任赤字

市场反应迅速：

Coupang在纽约上市的股票在披露后下跌了约5-9%，抹去了其在2025年早些时候积累的部分涨幅。

除了即时的价格波动外，此次泄露还带来了几个中期风险：

集体诉讼 报告显示，超过10，000名客户正在考虑或准备加入集体诉讼，通常要求每人至少赔偿10万韩元。

更高的网络安全与合规支出 Coupang可能被迫增加在以下方面的投资：

身份与访问管理
密钥管理和HSM基础设施
SOC现代化和UEBA工具这将对利润率造成压力，并可能在即将到来的盈利周期中受到投资者的密切关注。

声誉损害与客户流失 信任是电子商务的核心。如此大规模的泄露可能导致：

账户注销和退出率增加
安全意识强的客户订单频率降低
那些标榜自己为“更安全”替代品的竞争对手获得优势

Coupang过往的数据事件记录

TechCrunch指出，这起最新的泄露事件是在Coupang系统发生一系列先前事件之上发生的。过去的问题包括：

2020年至2021年间影响客户和送货司机的数据泄露
2023年12月的事件，其卖家管理系统暴露了超过22,000名客户的个人信息

这种模式加剧了监管机构和客户的一个关键担忧：Coupang的安全成熟度和治理框架未能跟上其在韩国、日本和台湾电子商务爆炸式增长的步伐。

尽管Coupang表示目前没有证据表明Coupang台湾或Rocket Now的客户数据受到当前泄露事件的影响，但该公司在多市场的业务足迹提高了对跨境数据治理和云安全态势管理的要求。

任何在韩国境内或周边运营的大型消费平台，都将被期望证明其已从此次泄露事件中吸取了教训。

事件对Coupang及该地区的后续影响

Coupang常被称为“韩国的亚马逊”，而这一事件展示了当巨大规模遭遇不完善的安全治理时会发生什么。

短期内，公司面临：

监管调查
可能的创纪录罚款
集体诉讼
需要持续透明度和投资才能修复的声誉挑战

从长远来看，这次泄露很可能成为亚洲网络安全的一个参考案例：

对立法者而言：是推动更严格个人数据监管的催化剂
对企业而言：是密钥管理和离职流程反面教材的基准
对用户而言：提醒非财务个人数据仍然存在现实风险

如果Coupang能够展示其身份、访问和检测堆栈进行可信的端到端彻底改革的承诺，它最终可能会将这场危机转化为安全成熟度的转折点。但就目前而言，这一事件是一个鲜明的警示：在现代电子商务中，有规模而无安全是一种系统性责任，而非优势。