政府：“确认Coupang泄露3367万条姓名和邮箱信息…联系方式、地址等也被曝光”

by Lee Myeonghwan

Published 10 Feb.2026 14:00(KST)

Updated 10 Feb.2026 14:52(KST)

open/close

收货地址列表页面被查询逾1.48亿次
姓名、联系方式、地址、小区公共门禁密码等在列
订单商品明细同样暴露给攻击者

Coupang认证体系薄弱…缺乏伪造和篡改核查程序
确认存在侵害事故上报延迟及未履行资料保全命令

政府：“确认Coupang泄露3367万条姓名和邮箱信息…联系方式、地址等也被曝光”

关于Coupang大规模个人信息泄露事件，政府层面的首份调查结果已经出炉。经确认，Coupang用户姓名、电子邮箱等共约3367万条个人信息被泄露，在此过程中，包含联系方式、收货地址、小区公共门禁密码、订单商品列表等内容的页面被攻击者访问曝光。同时，还确认了Coupang方面存在延迟上报和违反资料保存命令的情况。

科学技术信息通信部于10日下午在首尔钟路区政府首尔大楼举行发布会，公布了民官联合调查团（下称“联合调查团”）对Coupang侵害事故的上述调查结果。联合调查团对2024年11月29日至去年12月31日期间Coupang访问记录（日志）共25.6TB的数据进行了分析。

确认约3367万条用户信息被泄露

据联合调查团介绍，攻击者去年11月曾两次向Coupang发送邮件，声称已从Coupang窃取信息。邮件中包含：▲“修改我的信息”页面中的姓名、电子邮箱 ▲“收货地址列表页面”中的姓名、电话号码、地址、小区公共门禁密码信息 ▲“订单列表”页面中用户订购商品信息等其通过泄露获得的部分数据。

联合调查团调查结果显示，通过“修改我的信息”页面，包含姓名和电子邮箱在内的用户信息约3367万条被泄露。该数字与Coupang去年11月自行调查并公布的约3370万条个人信息泄露规模相近。

攻击者发给Coupang的部分电子邮件内容。科学技术信息通信部提供

尤其是在这一过程中，攻击者通过访问收货地址列表页面约1.48亿次来窃取信息。这一数字代表攻击者访问收货地址列表页面的次数。该页面中包含姓名、电话号码、收货地址以及以特殊符号形式去标识化处理的小区公共门禁密码。收货地址列表页面中，除账号所有人本人外，还包含家人、朋友等第三方的大量姓名、电话号码、收货地址等信息。包含姓名、电话号码、收货地址和小区公共门禁密码的收货地址列表修改页面也被访问了5万474次。

此外，用户订购的商品明细同样被曝光。联合调查团调查结果显示，攻击者共访问包含用户近期订购商品列表的订单列表页面10万2682次。攻击者去年11月发给Coupang的邮件中，也包含部分客户的订购商品信息。

联合调查团公布的泄露规模是基于网页访问记录等测算得出的数据。今后关于具体个人信息泄露的最终规模，将由个人信息保护委员会予以确认并对外发布。

攻击者发给Coupang的邮件。科学技术信息通信部提供

联合调查团在调查过程中，对Coupang网站与移动应用（App）的访问记录（日志）等相关资料进行了综合分析；同时，对Coupang提交的攻击者个人电脑存储设备（2块硬盘HDD、2块固态硬盘SSD）以及目前在职的Coupang开发者笔记本电脑进行了取证分析。并对Coupang公司层面的信息安全管理体系进行了检查。

经确认，攻击者正如外界所知，是在Coupang任职期间负责系统故障等情况备份用用户认证系统的设计与开发工作的软件（Software）开发人员。联合调查团表示，攻击者利用Coupang服务器认证系统的漏洞，在未正常登录的情况下异常访问用户账号，擅自窃取信息。

如要访问Coupang的管理服务器，必须先完成登录程序并获取一种“电子出入证”。Coupang的关口服务器会对已发放的电子出入证进行有效性校验，仅在确认无异常时才允许接入服务。但攻击者在任职期间窃取了其负责管理的用户认证系统的签名密钥，通过伪造、篡改电子出入证绕过了Coupang的认证体系。此后，攻击者为实施正式攻击进行了事前测试，并利用自动化网页爬取攻击工具大规模窃取信息。在这一过程中，攻击者动用了共2313个互联网协议（IP）地址。

“Coupang未设置电子出入证伪造、篡改核验程序”

联合调查团调查结果显示，Coupang并未设置核验电子出入证是否被伪造、篡改的程序。此外，当相关业务负责人离职时，本应通过更新程序使其无法继续使用该签名密钥，但相关体系和流程同样不完善。再加上原本应通过记录和管理签名密钥的发放明细来实现系统化管理，但由于缺乏密钥历史管理体系，无法掌握密钥是否被用于非预期目的，这一点也在调查中得到确认。

Coupang发生超过3000万条记录的大规模个人信息泄露事故，规模超过2969万名经济活动人口，成为史上最严重的泄露事件。照片为1日的Coupang总部。2025.12.01 记者 Yoon Dongju

调查还确认了Coupang存在违反法律法规的情形。根据《信息通信网络法》规定，在发现侵害事故后24小时内必须向科学技术信息通信部或韩国互联网振兴院（Korea Internet & Security Agency）报告，但Coupang在向首席信息安全官（Chief Information Security Officer）首次报告事件后，直到两天后才向韩国互联网振兴院报告。

其也未履行政府下达的资料保存命令。科学技术信息通信部为分析侵害事故原因，于去年11月下达了资料保存命令，但Coupang未调整自动日志保存策略，导致约5个月的网页访问记录被删除。移动应用访问记录（日志）中，去年5月23日至6月2日的数据也被删除。

政府计划就延迟报告侵害事故一事对其处以罚款。对于未遵守资料保存命令的行为，已将案件移交司法机关请求立案调查。