A varejista online sul-coreana Coupang informou que um ex-colaborador admitiu ter acessado de forma não autorizada dados de cerca de 33 milhões de clientes. A empresa, no entanto, sustenta que o responsável pelo incidente apagou todas as informações obtidas ilegalmente e não realizou a transferência desses dados para terceiros.
Em comunicado divulgado no dia de Natal, a Coupang afirmou que conduziu uma investigação forense detalhada em parceria com as empresas Mandiant, Palo Alto Networks e Ernst & Young. Além disso, a companhia declarou ter obtido depoimentos formais do ex-funcionário apontado como autor da violação.
Como ocorreu o acesso aos dados
De acordo com os resultados da apuração interna, a empresa acredita que o ex-funcionário se apropriou de uma chave de segurança durante o período em que ainda integrava o quadro da companhia. Posteriormente, essa credencial teria sido usada para acessar sistemas que continham informações de clientes.
O relatório aponta que o acesso envolveu o histórico de pedidos e códigos de entrada de prédios residenciais de aproximadamente 3.000 clientes, utilizados para permitir que entregadores deixem encomendas em áreas internas dos edifícios.
Evidências e tentativa de destruição
Os investigadores identificaram que o suspeito utilizou tanto um computador pessoal quanto um MacBook Air para consultar os dados. O PC foi entregue voluntariamente, e nele foi encontrado um script que teria sido usado para executar o acesso indevido.
Após a repercussão do caso na imprensa, o acusado teria tentado eliminar provas adicionais. Segundo a investigação, ele quebrou o MacBook Air, colocou os fragmentos em uma sacola com identificação da Coupang, adicionou tijolos e descartou o material em um rio. Apesar disso, os peritos conseguiram recuperar o equipamento e identificar o número de série, que coincidia com o registro da conta iCloud do ex-funcionário.
Impacto e posição da empresa
A Coupang afirma que o ex-funcionário manteve apenas dados relacionados a cerca de 3.000 contas, não realizou cópias externas e apagou todas as informações após tomar conhecimento das reportagens sobre o incidente. Segundo a empresa, até o momento não foram encontradas evidências que contradigam as declarações prestadas pelo acusado.
Embora a companhia minimize o alcance prático do episódio, o número total de contas acessadas chama atenção, especialmente considerando que a Coreia do Sul possui cerca de 52 milhões de habitantes, o que representa um impacto potencial significativo.
Compensação e investigação governamental
Mesmo diante desse cenário, a situação da Coupang segue delicada. A empresa anunciou que concederá um voucher de ₩50.000 (aproximadamente US$ 35) a cada um dos 33 milhões de clientes afetados, medida que deve gerar um custo estimado de US$ 1,17 bilhão.
Paralelamente, o governo sul-coreano abriu uma investigação sobre as operações da varejista. Caso siga precedentes recentes, como o vazamento envolvendo a operadora SK Telecom, o processo pode resultar em multas expressivas e novas exigências regulatórias para a empresa.
Fonte: The Registrer
