Hơn 33 triệu hồ sơ cá nhân bị rò rỉ trong sự cố an ninh của Coupang
Ngày 10/2/2026, nhóm điều tra chung giữa cơ quan nhà nước và khu vực tư nhân của Hàn Quốc đã chính thức xác nhận một vụ rò rỉ dữ liệu nghiêm trọng liên quan đến tập đoàn thương mại điện tử Coupang. Theo đó, hơn 33,6 triệu hồ sơ người dùng trong nước đã bị xâm nhập trái phép, gây chấn động về an ninh thông tin.
Quy mô vụ việc vượt xa báo cáo ban đầu
Theo Bộ Khoa học và Công nghệ Thông tin Hàn Quốc, cơ quan chủ trì cuộc điều tra, tổng cộng 33,67 triệu bản ghi người dùng, bao gồm tên và địa chỉ thư điện tử của khách hàng, đã bị đánh cắp trong vụ vi phạm dữ liệu xảy ra năm 2025. Con số này cao hơn rất nhiều so với các tuyên bố ban đầu của Coupang, khi doanh nghiệp này ban đầu cho rằng chỉ khoảng 3.000 hồ sơ bị ảnh hưởng, sau đó điều chỉnh lên thêm 165.000 hồ sơ.
Ngoài ra, trang danh sách giao hàng của Coupang – chứa thông tin nhạy cảm như tên, số điện thoại, địa chỉ nhận hàng và mật khẩu vào sảnh chung cư đã được ẩn danh – cũng bị truy cập bất hợp pháp tới 148 triệu lượt. Cơ quan chức năng nhận định các thông tin do Coupang tự công bố chỉ mang tính tham khảo và không phản ánh đầy đủ quy mô thực tế của vụ việc.
Nguyên nhân từ sai sót quản lý nội bộ
Phát biểu tại cuộc họp báo ở Seoul, ông Choi Woo-hyuk – Cục trưởng Cục Chính sách An ninh mạng và Mạng lưới thuộc Bộ Khoa học và CNTT – nhấn mạnh nhóm điều tra đã tiến hành xác minh độc lập bằng cách kiểm tra trực tiếp hệ thống máy chủ của Coupang. Kết quả cho thấy đối tượng tấn công là một cựu nhân viên từng tham gia phát triển phần mềm xác thực người dùng.
Người này đã đánh cắp khóa ký từ hệ thống xác thực, tiến hành thử nghiệm xâm nhập và sử dụng các công cụ thu thập dữ liệu tự động để sao chép khối lượng lớn thông tin. Đáng chú ý, đối tượng vẫn có thể truy cập hệ thống của Coupang sau khi đã rời công ty và từng gửi thư điện tử đe dọa tới trụ sở doanh nghiệp.
Nhóm điều tra cho biết quy định nội bộ của Coupang yêu cầu các khóa ký chỉ được lưu trữ trong hệ thống quản lý chuyên biệt, không được lưu trên máy tính cá nhân. Tuy nhiên, thực tế cho thấy một số lập trình viên của công ty đã lưu trữ các khóa này trên máy tính xách tay cá nhân, làm gia tăng nguy cơ bị xâm nhập. Cơ quan chức năng kết luận đây là "sai sót rõ ràng trong công tác quản lý" chứ không phải một cuộc tấn công mạng tinh vi.
Coupang đối mặt với biện pháp xử phạt
Bộ Khoa học và Công nghệ Thông tin Hàn Quốc cũng tiết lộ rằng Coupang đã không báo cáo kịp thời vụ việc cho cơ quan chức năng theo quy định, đồng thời không bảo toàn đầy đủ các bằng chứng quan trọng dù đã có yêu cầu trước đó. Do vậy, cơ quan quản lý sẽ áp dụng các biện pháp xử phạt hành chính đối với hành vi báo cáo chậm và tiếp tục mở rộng điều tra.
Liên quan đến các đồn đoán cho rằng quá trình công bố kết quả bị trì hoãn do sức ép thương mại từ Mỹ, nhóm điều tra khẳng định việc xử lý vụ việc được thực hiện nghiêm túc, tuân thủ pháp luật và nguyên tắc minh bạch, không có sự phân biệt đối xử đối với bất kỳ doanh nghiệp nào.
Sự cố này một lần nữa làm dấy lên lo ngại về an ninh dữ liệu trong kỷ nguyên số, đặc biệt là với các tập đoàn công nghệ lớn có trụ sở tại nhiều quốc gia như Coupang.
