Yonhap News dẫn kết quả điều tra cho hay, có tới 33,67 triệu tài khoản khách hàng, tương đương hai phần ba dân số Hàn Quốc, đã bị lộ thông tin cá nhân, bao gồm tên, số điện thoại, thư điện tử và chi tiết giao hàng, cao hơn rất nhiều con số 3.000 tài khoản bị lộ như Coupang công bố trước đó. Kết quả điều tra sơ bộ cho thấy mục giao hàng trên website Coupang đã bị truy cập trái phép khoảng 148 triệu lần. Thông tin bị lộ bao gồm cả mật khẩu cửa vào chung của các tòa nhà. Do khách hàng thường đặt hàng cho người thân, bạn bè, số lượng cá nhân bị lộ thông tin thực tế có thể còn cao hơn con số 33,6 triệu. Bản thân Công ty Coupang vi phạm quy định bắt buộc phải báo cáo trong vòng 24 giờ khi công ty phát hiện vụ việc lúc 16 giờ ngày 17/11, nhưng đến tận 21 giờ 35 phút ngày 19/11 mới trình báo.
Ông Choi Woo Hyuk, Cục trưởng An ninh mạng thuộc MSIT, nhận định, đây không phải là một cuộc tấn công kỹ thuật tinh vi mà là lỗi trong khâu quản lý hệ thống. Các tin tặc đã khai thác lỗ hổng trong hệ thống xác thực của Coupang bằng cách làm giả "thẻ kỹ thuật số" để vượt qua các thủ tục đăng nhập thông thường mà không cần tài khoản hợp lệ. Đáng chú ý, cơ quan chức năng còn phát hiện Coupang thiếu hụt dữ liệu truy cập web trong nhiều tháng của năm 2024 và 2025. Điều này cho thấy, công ty đã không bảo quản bằng chứng quan trọng theo yêu cầu.
Theo quy định của pháp luật, hành vi chậm khai báo như trường hợp của Coupang có thể bị xử phạt hành chính với mức phạt lên tới 30 triệu won (hơn 20.000 USD). Để ngăn chặn tái diễn sự cố tương tự, dự kiến, Chính phủ Hàn Quốc sẽ yêu cầu Coupang trong tháng này phải trình giải pháp ứng phó, đồng thời tổ chức kiểm tra việc triển khai các biện pháp trong giai đoạn từ tháng 6 đến tháng 7.
Về phần mình, Tổng Giám đốc điều hành (CEO) Coupang, ông Park Dae-jun khẳng định chưa phát hiện bất kỳ thiệt hại thứ cấp nào phát sinh từ vụ việc, đồng thời cho rằng 148 triệu lượt truy cập trái phép vào dữ liệu cá nhân không đồng nghĩa với việc thông tin đã bị đánh cắp. Đại diện công ty khẳng định đã hợp tác đầy đủ với cơ quan điều tra.
Coupang - nhà cung cấp dịch vụ thương mại điện tử hàng đầu tại Hàn Quốc - đang đối mặt sự giám sát chặt chẽ của người dân và phản ứng dữ dội từ người tiêu dùng sau bê bối trên. Coupang là công ty niêm yết trên sàn chứng khoán Mỹ và do doanh nhân người Mỹ gốc Hàn Kim Bom Suk thành lập, với khoảng 90% doanh thu tại Hàn Quốc.
Nhằm củng cố an ninh mạng trong khu vực công, Chính phủ Hàn Quốc đã có bước đi quyết liệt khi tiến hành cuộc kiểm tra quy mô lớn đầu tiên đối với 653 cơ quan công quyền nhằm rà soát hệ thống bảo vệ dữ liệu cá nhân và thực trạng nhân lực chuyên trách. Theo AP, Chủ tịch Ủy ban Bảo vệ Thông tin Cá nhân Hàn Quốc (PIPC) Song Kyung Hee đã báo cáo về kế hoạch này, đồng thời kêu gọi các bộ, ngành liên quan tích cực phối hợp để hoàn thiện cuộc kiểm tra nhằm siết chặt quy định và phân định trách nhiệm. Bà Song cho biết, sau khi phân tích kết quả kiểm tra, PIPC sẽ thảo luận với các cơ quan chủ chốt như Bộ Nội vụ và An toàn, Bộ Kinh tế và Tài chính, Bộ Kế hoạch và Ngân sách để đưa ra giải pháp xử lý.
Cùng với đó, Hàn Quốc cũng đang tiến hành các biện pháp cải cách thể chế nhằm tăng cường bảo mật trong khu vực công, bao gồm việc làm rõ trách nhiệm và quy trách nhiệm người đứng đầu cơ quan đối với các sự cố về dữ liệu. Ngoài ra, dự thảo sửa đổi Luật Bảo vệ thông tin cá nhân, bao gồm việc bắt buộc áp dụng chứng nhận Hệ thống quản lý bảo mật thông tin và bảo vệ dữ liệu cá nhân (ISMS-P) theo từng giai đoạn, đã được thông qua tại Ủy ban Thường vụ Quốc hội và đang tiến hành các thủ tục tiếp theo.
Những động thái trên diễn ra trong bối cảnh dư luận Hàn Quốc đang bức xúc sau hàng loạt sự cố rò rỉ dữ liệu tại các cơ quan công quyền. Điển hình là vụ việc liên quan đến dịch vụ xe đạp công cộng Ttareungyi của Tổng công ty thiết bị Seoul gần đây, làm dấy lên những chỉ trích gay gắt về lỗ hổng trong hệ thống quản lý dữ liệu của nhà nước.
Bên cạnh việc kiểm tra hệ thống, Chính phủ Hàn Quốc cũng khẳng định sẽ đầu tư mạnh hơn vào hạ tầng bảo mật để thích ứng với kỷ nguyên trí tuệ nhân tạo (AI), bảo đảm quyền riêng tư của người dân không bị xâm phạm trong quá trình chuyển đổi số.
