Kebocoran Data Coupang Terungkap, Mantan Karyawan Diduga Masih Miliki Akses Sistem

Kasus kebocoran data besar yang menimpa Coupang, raksasa e-commerce asal Korea Selatan, kini mulai menemukan titik terang. Kepolisian Metropolitan Seoul mengungkap bahwa insiden yang mengekspos data pribadi 33,7 juta pelanggan tersebut diduga melibatkan mantan karyawan yang masih memiliki akses ke sistem internal perusahaan setelah tidak lagi bekerja di sana.

Informasi ini disampaikan kepada media lokal setelah aparat melakukan penyelidikan intensif, termasuk penggeledahan kantor pusat Coupang pada awal pekan ini. Coupang sendiri merupakan perusahaan ritel daring terbesar di Korea Selatan, dengan sekitar 95.000 karyawan dan pendapatan tahunan yang melampaui 30 miliar dolar AS.

Perusahaan pertama kali mengumumkan kebocoran data tersebut pada 1 Desember 2025. Data yang terdampak mencakup nama pelanggan, alamat email, alamat fisik, serta informasi pesanan. Meski insiden sebenarnya terjadi pada 24 Juni 2025, Coupang baru menyadarinya pada 18 November dan langsung memulai investigasi internal.

Dalam pembaruan resmi yang dirilis pada 6 Desember, Coupang menyatakan bahwa data yang dicuri tidak ditemukan beredar di internet. Namun, meskipun perusahaan mengklaim telah bekerja sama sepenuhnya dengan pihak berwenang, kepolisian tetap melakukan penggeledahan untuk mengumpulkan bukti dalam rangka penyelidikan independen.

Tekanan publik terhadap kasus ini semakin meningkat setelah CEO Coupang, Park Dae-Jun, mengumumkan pengunduran dirinya pada Rabu lalu. Ia menyampaikan permintaan maaf kepada masyarakat dan mengakui kegagalan perusahaan dalam mencegah insiden yang disebut-sebut sebagai kebocoran data terburuk dalam sejarah keamanan siber Korea Selatan.

Dalam perkembangan terbaru, polisi mengidentifikasi tersangka utama sebagai seorang pria berkewarganegaraan China berusia 43 tahun yang merupakan mantan karyawan Coupang. Pria tersebut diketahui bergabung dengan perusahaan pada November 2022 dan bertugas di sistem manajemen autentikasi sebelum meninggalkan perusahaan pada 2024. Aparat menduga yang bersangkutan telah meninggalkan Korea Selatan.

Selama penyelidikan lanjutan, polisi masih berada di kantor Coupang untuk mengumpulkan berbagai bukti, termasuk dokumen internal, log sistem, catatan akses, alamat IP, kredensial pengguna, serta riwayat aktivitas yang dapat menjelaskan bagaimana mantan karyawan tersebut mempertahankan akses ke sistem perusahaan.

Pihak kepolisian menegaskan bahwa meskipun Coupang saat ini diposisikan sebagai korban, perusahaan dan individu yang bertanggung jawab atas perlindungan data pelanggan tetap dapat dimintai pertanggungjawaban hukum apabila ditemukan unsur kelalaian atau pelanggaran lainnya.

Di sisi lain, insiden ini memicu lonjakan aktivitas phishing di Korea Selatan. Aparat melaporkan bahwa sekitar dua pertiga populasi negara tersebut terdampak upaya penipuan, dengan ratusan laporan terkait penyamaran sebagai Coupang diterima sejak awal bulan ini.