Il colosso sudcoreano Coupang, spesso definito l’Amazon di Corea, ha confermato un grave attacco informatico che ha esposto i dati personali di 33,7 milioni di utenti, oltre metà della popolazione del Paese. L’azienda ha riconosciuto che l’intrusione, partita da server esteri, ha permesso di accedere a informazioni sensibili come nomi, indirizzi email, numeri di telefono, indirizzi di spedizione e parte della cronologia ordini. I dati di pagamento, invece, sarebbero rimasti protetti.
Come è avvenuto l’attacco a Coupang
Secondo quanto dichiarato dalla società, l’accesso illecito sarebbe iniziato il 24 giugno, sfruttando infrastrutture fuori dalla giurisdizione coreana. Il sistema di sicurezza ha individuato le prime anomalie a novembre, ma le indagini interne hanno rivelato una portata molto più ampia. Le autorità – tra cui la Korea Internet & Security Agency e la Personal Information Protection Commission – sono state subito coinvolte. Coupang ha chiuso i canali di accesso compromessi, rafforzato il monitoraggio interno e incaricato una società indipendente di analizzare l’accaduto.
Le ricostruzioni dei media locali aggiungono un elemento inquietante relativo al presunto coinvolgimento di un ex dipendente, che avrebbe mantenuto attiva una chiave di autenticazione anche dopo la cessazione del contratto. Secondo alcune fonti, l’uomo avrebbe utilizzato quelle credenziali per sottrarre i dati e lasciare il Paese subito dopo l’esplosione del caso. L’azienda, pur non confermando la versione, non ha escluso che la minaccia sia nata dall’interno.
Impatto del data breach e reazioni ufficiali
Coupang ha invitato gli utenti a prestare attenzione a comunicazioni sospette, false chiamate o messaggi che fingano di provenire dal servizio clienti. In una nota pubblica, il gruppo ha espresso “profondo rammarico” per l’incidente e assicurato che sta collaborando pienamente con le autorità. L’episodio, tuttavia, riapre il dibattito sulla vulnerabilità delle grandi piattaforme digitali e sull’efficacia dei controlli di sicurezza interni.
Il precedente più vicino è quello di SK Telecom, multata pochi mesi fa per aver trascurato le misure minime di protezione dei dati di 27 milioni di abbonati. Se verranno accertate carenze simili in Coupang, la società potrebbe affrontare una sanzione senza precedenti e un grave danno reputazionale. È curioso notare come le aziende più tecnologiche siano spesso anche le più esposte: la velocità dell’innovazione non sempre va di pari passo con la prudenza digitale.
Una lezione globale per il mondo digitale
Il caso Coupang rappresenta un campanello d’allarme anche per le imprese europee e italiane che operano online. Le minacce interne restano tra i rischi più difficili da prevenire: un accesso non revocato o una procedura dimenticata possono trasformarsi in una falla devastante. La protezione dei dati non è solo una questione tecnica ma di governance e responsabilità. Ogni organizzazione dovrebbe disporre di policy chiare per la gestione delle credenziali e di protocolli rapidi di risposta ai breach. Le sanzioni legate alla privacy sono solo una parte del problema: molto più costoso è il prezzo della fiducia perduta.
Il digitale vive di fiducia, e ogni violazione la erode un po’ di più. Non basta avere firewall e protocolli: serve una cultura della sicurezza che inizi dalle persone e arrivi fino al vertice aziendale.
