Önemli Çıkarımlar:
Güney Kore'nin gizlilik düzenleyicisi, 37,6 milyon kullanıcıyı etkileyen bir veri ihlali nedeniyle Coupang'a rekor 410 milyon dolar para cezası kesti; bu, ülkede türünün en büyük kurumsal cezası oldu.
Güney Kore Kişisel Bilgi Koruma Komisyonu (PIPC), Perşembe günü 37,6 milyon kullanıcıyı etkileyen bir veri ihlali nedeniyle Coupang'a 624,68 milyar won (410,1 milyon dolar) para cezası kesti; bu, ülke tarihindeki en büyük kurumsal gizlilik cezası oldu.
"Bu olay, karmaşık hackleme tekniklerinden değil, Coupang'ın yetersiz temel güvenlik yönetim sistemi ve ihmalinden kaynaklandı," dedi PIPC Başkanı Kyung Hee Song bir brifingde.
Para cezası, Reuters hesaplamalarına göre Coupang'ın 2025 yılı 45 trilyon wonluk gelirinin %1,4'üne tekabül ediyor. Eski bir Çinli yazılım geliştiricisi, şirketten ayrıldıktan sonra bir kimlik doğrulama anahtarını elinde tuttu ve bu da Coupang'ın Kasım 2025'te ihlali tespit edene kadar yaklaşık bir yıl boyunca yetkisiz erişime olanak sağladı. Fail, isimlere, telefon numaralarına ve konut binası giriş kodlarına erişti ancak kredi kartı veya devlet kimlik verilerine erişmedi, dedi Coupang. Düzenleyici ayrıca şirketin, yaklaşık 11 milyon müşteriye ait çevrimiçi aktivite verilerini, onların rızası olmadan bir pazarlama programı aracılığıyla yasa dışı olarak topladığını tespit etti.
Ceza, Güney Kore'nin lojistik pazarının yaklaşık %40'ını kontrol eden Seattle merkezli e-ticaret devi üzerindeki düzenleyici baskıyı artırıyor ve Washington ile Seul arasındaki ticaret müzakerelerinin devam ettiği bir dönemde geliyor. Coupang, karardan üzüntü duyduğunu ve "yasal süreçler aracılığıyla gerçeklerin net bir şekilde ortaya konulmasını" beklediğini belirterek olası bir temyiz sinyali verdi.
Coupang'ın hisseleri, açıklamanın ardından New York Borsası'nda %4,97 düşerek yatırımcıların finansal ve itibari etkiye ilişkin endişelerini yansıttı. Delaware eyaletinde kurulmuş olmasına rağmen gelirinin çoğunu Güney Kore'den elde eden şirket, daha önce veri koruma sistemlerini güçlendireceğini söylemişti.
PIPC, Coupang'ın ihlali Güney Kore yasalarının gerektirdiği 72 saatlik süre içinde tespit edemediğini söyledi. Song, şirketin güvenlik sisteminin, hacker'ın şüphelinin firmadan ayrılmasından sonra bile tüm müşterilerin kişisel bilgilerine kolayca erişmesine izin verdiğini ve Coupang'ın anormal veri trafiğinden ancak bir müşteri sorgulamasından sonra haberdar olduğunu belirtti.
Soruşturma, Koreli yetkililerin ABD'de borsaya kote şirkete yönelik muamelesinde aşırıya kaçtığı endişeleriyle ABD'li ticaret yetkililerinin dikkatini çekmişti. Güney Kore, soruşturmanın ne bir ticaret ne de bir güvenlik meselesi olmadığını ve devam eden ikili görüşmelerden ayrı olarak ele alınması gerektiğini savundu.
Para cezası, SK Telecom ve KT dahil olmak üzere Güney Koreli şirketlere verilen önceki veri ihlali cezalarının çok üzerinde olup, PIPC'nin uygulamalarında önemli bir tırmanışa işaret ediyor. Karşılaştırılabilir son ceza — 2023 yılında 19 milyon kullanıcıyı etkileyen bir veri sızıntısı nedeniyle SK Telecom'a kesilen 7,5 milyar wonluk para cezası — mevcut miktarın %2'sinden daha azdı ve düzenleyicinin daha sert tutumunun altını çiziyor.
Bu makale yalnızca bilgilendirme amaçlıdır ve yatırım tavsiyesi niteliği taşımamaktadır.
