Nuovo scandalo Coupang, hackerati 33 milioni di utenti. “Fallimento gestionale, non un cyberattacco sofisticato”

Un’indagine congiunta tra governo e settore privato ha confermato che la grave violazione informatica subita lo scorso anno da Coupang, colosso dell’e-commerce con sede negli Stati Uniti, ha coinvolto più di 33 milioni di utenti sudcoreani. Un numero di gran lunga superiore a quanto inizialmente dichiarato dall’azienda, che aveva parlato prima di circa 3.000 record compromessi, per poi rivedere la stima a 165.000.

Nuovo scandalo Coupang, hackerati 33 milioni di utenti

Secondo il Ministero della Scienza e delle Tecnologie dell’Informazione e della Comunicazione (ICT), che ha guidato l’indagine, i dati sottratti ammontano a 33,67 milioni di profili e includono nomi ed indirizzi email. Inoltre, la pagina interna utilizzata per le consegne – contenente nomi, numeri di telefono, indirizzi e password anonimizzate degli ingressi condominiali – sarebbe stata consultata illegalmente ben 148 milioni di volte.

Durante una conferenza stampa a Seul, Choi Woo-hyuk, responsabile dell’Ufficio per la cybersecurity del ministero, ha chiarito che le cifre diffuse inizialmente da Coupang erano solo “affermazioni dell’azienda” e non risultati verificati. Gli investigatori hanno infatti analizzato direttamente i server per stabilire quante informazioni fossero state effettivamente consultate e sottratte da soggetti esterni.

L’indagine ha anche identificato il responsabile dell’attacco: un ex dipendente di Coupang, coinvolto in passato nello sviluppo del software di autenticazione. L’uomo avrebbe sottratto una chiave di firma dai sistemi aziendali, testato l’attacco e poi utilizzato strumenti di web-crawling per copiare enormi quantità di dati. Nonostante avesse lasciato l’azienda, riusciva ancora ad accedere ai servizi e avrebbe persino inviato email di minaccia alla sede centrale.

Gli investigatori hanno riscontrato gravi carenze nella gestione interna della sicurezza: le regole aziendali prevedevano che le chiavi di firma fossero conservate solo nei sistemi di gestione, ma è emerso che alcuni sviluppatori le tenevano sui propri laptop. “Non si è trattato di un attacco sofisticato, bensì di un evidente fallimento gestionale”, ha sottolineato Choi.

Il ministero ha inoltre accusato Coupang di non aver segnalato tempestivamente l’incidente alle autorità competenti, in violazione delle norme vigenti, e ha annunciato sanzioni per il ritardo e l’avvio di un’indagine formale. Respinte infine le voci su presunte pressioni politiche internazionali: secondo il team, l’inchiesta si è svolta nel pieno rispetto della legge, senza trattamenti di favore.