Hơn 33 triệu hồ sơ cá nhân bị rò rỉ trong sự cố an ninh của Coupang
Ngày 10/2, nhóm điều tra chung giữa cơ quan nhà nước và khu vực tư nhân của Hàn Quốc xác nhận hơn 33,6 triệu hồ sơ người dùng trong nước đã bị rò rỉ.
(Ảnh: Yonhap)
Theo Bộ Khoa học và Công nghệ Thông tin Hàn Quốc, cơ quan chủ trì cuộc điều tra, tổng cộng 33,67 triệu bản ghi người dùng, bao gồm tên và địa chỉ thư điện tử của khách hàng, đã bị xâm nhập trái phép trong vụ vi phạm dữ liệu nghiêm trọng xảy ra năm 2025 tại Coupang - tập đoàn thương mại điện tử có trụ sở chính tại Mỹ.
Ngoài ra, trang danh sách giao hàng của Coupang - chứa thông tin như tên, số điện thoại, địa chỉ nhận hàng và mật khẩu vào sảnh chung cư đã được ẩn danh - bị truy cập bất hợp pháp tới 148 triệu lượt.
Kết luận điều tra cho thấy con số này cao hơn rất nhiều so với các tuyên bố ban đầu của Coupang. Trước đó, doanh nghiệp này cho rằng chỉ khoảng 3.000 hồ sơ bị ảnh hưởng, sau đó điều chỉnh lên thêm 165.000 hồ sơ. Cơ quan chức năng nhận định các thông tin do Coupang tự công bố chỉ mang tính tham khảo và không phản ánh đầy đủ quy mô vụ việc.
Phát biểu tại họp báo ở Seoul, ông Choi Woo-hyuk - Cục trưởng Cục Chính sách An ninh mạng và Mạng lưới thuộc Bộ Khoa học và CNTT - nhấn mạnh nhóm điều tra đã tiến hành xác minh độc lập bằng cách kiểm tra trực tiếp hệ thống máy chủ của Coupang, nhằm xác định chính xác lượng dữ liệu bị truy cập và rò rỉ.
Bộ Khoa học và Công nghệ Thông tin Hàn Quốc tổ chức họp báo về vụ Coupang tại Seoul, ngày 10/2/2026 (Ảnh: Yonhap)
Theo kết quả điều tra, đối tượng tấn công là một cựu nhân viên Coupang từng tham gia phát triển phần mềm xác thực người dùng. Người này đã đánh cắp khóa ký từ hệ thống xác thực, tiến hành thử nghiệm xâm nhập và sử dụng các công cụ thu thập dữ liệu tự động để sao chép khối lượng lớn thông tin. Đáng chú ý, đối tượng vẫn có thể truy cập hệ thống của Coupang sau khi đã rời công ty và từng gửi thư điện tử đe dọa tới trụ sở doanh nghiệp.
Nhóm điều tra cho biết quy định nội bộ của Coupang yêu cầu các khóa ký chỉ được lưu trữ trong hệ thống quản lý chuyên biệt, không được lưu trên máy tính cá nhân. Tuy nhiên, thực tế cho thấy một số lập trình viên của công ty đã lưu trữ các khóa này trên máy tính xách tay cá nhân, làm gia tăng nguy cơ bị xâm nhập. Cơ quan chức năng kết luận đây là "sai sót rõ ràng trong công tác quản lý" chứ không phải một cuộc tấn công mạng tinh vi.
Bộ Khoa học và Công nghệ Thông tin Hàn Quốc cũng cho biết Coupang đã không báo cáo kịp thời vụ việc cho cơ quan chức năng theo quy định, đồng thời không bảo toàn đầy đủ các bằng chứng quan trọng dù đã có yêu cầu trước đó. Do vậy, cơ quan quản lý sẽ áp dụng các biện pháp xử phạt hành chính đối với hành vi báo cáo chậm và tiếp tục mở rộng điều tra.
Liên quan đến các đồn đoán cho rằng quá trình công bố kết quả bị trì hoãn do sức ép thương mại từ Mỹ, nhóm điều tra khẳng định việc xử lý vụ việc được thực hiện nghiêm túc, tuân thủ pháp luật và nguyên tắc minh bạch, không có sự phân biệt đối xử đối với bất kỳ doanh nghiệp nào.
