Coupang: un ex-employé a accédé à 33 millions de dossiers clients, impact jugé limité

The Register rapporte que Coupang, grand e-commerçant sud-coréen, a détaillé une intrusion interne où un ancien employé aurait accédé indûment aux données de 33 millions de clients, sur la base d’une enquête menée avec Mandiant, Palo Alto Networks et Ernst & Young.

— Contexte et faits principaux —

• Selon Coupang, l’ex-employé a dérobé une clé de sécurité lorsqu’il travaillait encore dans l’entreprise, puis l’a utilisée pour accéder à des enregistrements clients.
• L’intéressé aurait consulté environ 3 000 historiques de commandes et codes d’accès d’immeubles (pour la livraison), tout en admettant les faits par déclarations sous serment.

— Périmètre et impacts —

• L’incident concerne des données décrivant 33 millions de clients (plus de la moitié de la population sud-coréenne), mais Coupang affirme que le mis en cause n’a « retenu » que les données d’environ 3 000 comptes, sans transfert au-delà de son PC et d’un MacBook Air, et qu’il a supprimé ces copies après la médiatisation de l’affaire.
• Coupang offrira un bon de ₩50 000 (~35 $) à chacun des 33 millions de clients concernés, pour un coût estimé à 1,17 milliard de dollars. Le gouvernement sud-coréen a lancé une enquête susceptible d’aboutir à des amendes importantes, à l’image d’un précédent impliquant SK Telecom. 💸

— Enquête et éléments techniques —

• Les enquêteurs ont retrouvé sur le PC du suspect le script utilisé pour mener l’accès.
• Après les premières révélations médiatiques, l’accusé aurait détruit son MacBook Air (cassé, placé dans un sac avec des briques, puis jeté dans une rivière). L’appareil a été repêché; son numéro de série a pu être lu et corrélé au compte iCloud de l’intéressé. 🧱💻
• Coupang indique que les constats forensiques concordent avec les déclarations du suspect et qu’aucun élément ne les contredit à ce stade.

— IOCs et TTPs —

• IOCs: aucun indicateur technique (IP, domaines, hachages) n’est mentionné.
• TTPs (extraits du récit):
  • Menace interne via vol de clé de sécurité.
  • Accès non autorisé à des données clients et codes d’accès d’immeubles.
  • Usage d’un script sur PC et MacBook Air.
  • Destruction de preuves (cassage/immersion du laptop), puis corrélation du numéro de série au compte iCloud par les enquêteurs.
  • Suppression locale des données après médiatisation. 🔐

— Nature de l’article — Il s’agit d’un article de presse spécialisé relatant un incident et l’enquête forensique associée, avec mise en perspective des impacts et des suites réglementaires potentielles.

---

🔗 Source originale : https://www.theregister.com/2025/12/29/coupang_perpetrator_theft_details/