Coupang Dijatuhi Denda Rekor Rp 6,6 Triliun Akibat Kebocoran Data di Korea Selatan

Komisi Perlindungan Informasi Pribadi (Personal Information Protection Commission / PIPC) selaku lembaga pengawas perlindungan data Korea Selatan resmi menjatuhkan denda administratif pemecah rekor kepada raksasa e-commerce Coupang sebesar 624,6 miliar won (sekitar $409 juta USD atau setara 6,6 triliun Rupiah). Sanksi finansial luar biasa ini dijatuhkan menyusul insiden kebocoran data masif yang berdampak pada lebih dari 37 juta pelanggan.

Tidak hanya perusahaan induk, anak perusahaannya yaitu Coupang Fulfillment Service juga dijatuhi denda tambahan sebesar 248 juta won atas tindakan melawan hukum berupa pengumpulan, penggunaan, dan pengelolaan data pribadi serta data sensitif konsumen tanpa dasar hukum yang sah.

Kelalaian Manajemen Keamanan Siber Komponen Inti

Berdasarkan hasil investigasi mendalam dari PIPC, data pribadi milik sekitar 37,55 million orang bocor ke pihak luar akibat buruknya standar protokol keamanan dasar di internal Coupang. Pihak regulator menyoroti adanya kelalaian fatal dalam manajemen kunci tanda tangan otentikasi (authentication signature key) serta lemahnya sistem pembatasan hak akses (access controls).

Selain kegagalan teknis, PIPC juga menemukan sejumlah pelanggaran regulasi serius lainnya yang dilakukan oleh Coupang, meliputi:

• Pelanggaran kewajiban pemusnahan data yang sudah tidak digunakan.
• Keterlambatan dalam memberikan notifikasi resmi mengenai kebocoran data kepada publik dan korban.
• Intervensi manajemen terhadap independensi tugas Petugas Perlindungan Data (Data Protection Officer / DPO) perusahaan.
• Tindakan obstruksi hukum atau upaya menghalang-halangi jalannya proses investigasi oleh pihak berwenang.

Kronologi dan Pelaku Pembobolan Internal

Kebocoran data yang tercatat sebagai salah satu insiden terburuk dalam sejarah Korea Selatan ini diketahui pertama kali terjadi pada akhir Juni, namun manajemen Coupang baru menyadarinya pada pertengahan November ketika mereka mendeteksi adanya kompromi pada 33,7 juta akun pengguna.

Otoritas keamanan Korea Selatan yang mengambil alih investigasi berhasil mengidentifikasi tersangka utama, yaitu seorang warga negara China berusia 43 tahun yang pernah bekerja di divisi TI Coupang sepanjang tahun 2022 hingga 2024.

Dalam proses penangkapan, tersangka sempat mencoba melenyapkan bukti digital dengan membuang laptop MacBook Air miliknya ke dalam sungai, meski perangkat tersebut akhirnya berhasil dievakuasi oleh kepolisian. Pihak Coupang menyatakan bahwa mantan karyawan tersebut telah mengembalikan beberapa hard drive berisi data sensitif. Meskipun pelaku sempat mengakses jutaan akun, investigasi internal mengklaim pelaku hanya menyimpan secara permanen data dari sekitar 3.000 akun, yang kini seluruhnya telah dihapus dari sasis perangkat dan dipastikan tidak sempat ditransfer ke pihak ketiga.

Alokasi Dana Ganti Rugi dan Voucher Belanja Konsumen

Sebagai bentuk tanggung jawab dan upaya pemulihan reputasi, Coupang yang mencatatkan pendapatan tahunan global melebihi $30 miliar USD ini mengumumkan rencana kompensasi berskala besar:

Rentetan Krisis Siber Sektor Digital Korea Selatan

Kasus yang menimpa Coupang memperlebar kecemasan krisis keamanan data di Korea Selatan. Pada April 2026, operator jaringan seluler terbesar di negara tersebut, SK Telecom, juga terpaksa merilis peringatan kepada pelanggannya setelah jaringan internal mereka terinfeksi malware jahat sejak Juni 2022. Serangan tersembunyi itu sukses mengekspos data sensitif kartu USIM milik 27 juta pelanggan, yang merepresentasikan hampir seluruh basis ekosistem pengguna mereka.

Sumber: Personal Information Protection Commission (PIPC) South Korea Judicial Update