Güney Kore, tarihinin en büyük veri koruma cezasını verdi ve bu ceza, ülkenin en baskın e-ticaret şirketine uygulandı. “Güney Kore’nin Amazonu” olarak bilinen Coupang, 33,67 milyondan fazla kullanıcının kişisel bilgilerini açığa çıkaran bir ihlal nedeniyle 624,7 milyar won (yaklaşık 409 milyon dolar) ceza aldı.
Bu sayıyı bir bağlamda değerlendirmek gerekirse, Güney Kore'nin toplam nüfusu yaklaşık 51 milyondur. Bu, ülkenin her insanının yaklaşık iki üçte birinin verilerinin ihlal edildiği anlamına gelir.
Ne oldu ve bu kadar kötü nasıl hale geldi
İhlal, Nisan ile Haziran 2025 arasında başlayarak birkaç ay boyunca kullanıcı verilerine yetkisiz erişim kazanmak için kriptografik imza anahtarını kullanan eski bir Coupang mühendisine dayanıyor.
Maruz kalan veriler, adlar, e-posta adresleri, telefon numaraları, fiziksel adresler ve sipariş geçmişlerini içeriyordu. Ödeme verileri ve şifrelerin ihlal edilmediği bildirildi.
Coupang, olayı 17 Kasım 2025'te resmen kabul etti. Şirket, olayı düzenleyicilere raporlamak için 48 saat bekledi ve yasal olarak zorunlu olan 24 saatlik raporlama süresini kaçırdı. Bu gecikme, cezanın ciddiyetindeki temel faktör haline geldi.
Güney Kore’nin Kişisel Bilgilerin Korunması Komisyonu (PIPC), Mayıs 2026’da sonuçlanan bir soruşturma başlattı. Soruşturma, ihlalin çoğunlukla iç yönetim hatalarının sonucu olduğunu belirledi. Cezayı 11 Haziran 2026’da resmen duyurdu.
Güney Kore'de bir veri koruma ihlali için önceki en yüksek ceza 134,8 milyar won idi. Coupang'ın cezası bu miktarın neredeyse beş katıdır.
Milyar dolarlık temizlik
Ceza, Coupang'ın finansal maruziyetinin sadece bir parçasıdır. Aralık 2025'te şirket, etkilenen müşterilere toplam yaklaşık 1,7 trilyon won, yani yaklaşık 1,2 milyar dolarlık bir tazminat planı duyurdu.
Düzenleyici ceza ile birlikte, Coupang tek bir güvenlik olayından 1,6 milyar doların üzerinde toplam maliyetle karşı karşıya kalıyor.
PIPC, Güney Kore veri koruma yasası kapsamında uygulanabilecek maksimum cezaların ilgili gelirin %3'üne ulaşabileceğini belirtti. 624,7 milyar won tutarı, düzenleyicilerin cezanın cezalandırıcı ancak varoluşu tehdit etmeyen bir düzeyde hesaplandığını gösteriyor.
Bu, yatırımcılar için ne anlama geliyor
Coupang cezası, önceki 134,8 milyar wonluk rekorun neredeyse beş katı olacak şekilde, Güney Kore düzenleyicilerinin uygulama yaklaşımında açık bir artış olduğunu göstermektedir.
624,7 milyar wonluk ceza üzerine 1,2 milyar dolarlık tazminat planı, çoğu şirketin olay yanıtı için ayırdığı bütçeyi geride bırakan birleşik bir finansal etki yaratıyor.
Sızıntı, dış bir saldırı değil, bir dahili kişinin kriptografik imza anahtarını kullanarak gerçekleşti ve dış siber güvenlik harcamalarının yanı sıra dahili erişim yönetimi ve çalışan ayrılma protokollerinin önemli güvenlik riskleri taşıdığını ortaya koydu.