韩国科学技术信息通信部10日公布了对Coupang信息安全事件的联合调查结果。调查显示，此次事件实际影响范围远超Coupang最初申报的规模，涉及超过3367万个账户，相关收货地址列表被查询约1.48亿次。

据通报，Coupang于2025年11月16日接到用户反馈，称收到疑似个人信息泄露邮件。公司自查后于11月17日确认发生安全事件，并于11月19日向韩国互联网振兴院（KISA）申报称有4536个账户信息泄露。但KISA后续现场调查显示，实际泄露规模已扩大至3000万个账户以上。

联合调查组对2024年11月29日至2025年12月31日期间保存的Coupang访问日志进行了分析，相关日志容量为25.6TB，共计6642亿条记录；同时还对攻击者电脑存储介质以及Coupang在职开发者笔记本电脑进行了取证分析。

调查结果显示，攻击者于2025年4月14日至11月8日期间，通过“我的信息修改”页面获取了涉及3367万3817个账户的姓名和邮箱信息；同期还对收货地址列表页面发起1亿4805万6502次查询，相关信息包括姓名、电话号码、地址，以及经特殊字符脱敏处理的共同门禁密码。

此外，收货地址列表修改页面被查询5万474次，其中包含未经过脱敏处理的共同门禁密码；订单列表页面被查询10万2682次。韩国科学技术信息通信部表示，个人信息泄露的最终认定规模将由个人信息保护委员会确认。

调查认定，攻击者曾在Coupang负责用户认证系统的设计与开发。其在职期间窃取了本人所管理的签名密钥，并在离职后利用该密钥伪造“电子通行证”。

按正常流程，用户须完成登录后获取“电子通行证”，并经Coupang网关服务器验证后方可访问相关服务。而攻击者利用伪造的“电子通行证”，在未完成正常登录验证的情况下直接访问了Coupang服务。

调查显示，攻击者先于2026年1月5日至20日进行攻击测试，随后自2025年4月14日起利用自动化网页爬虫工具发起大规模攻击，期间共使用2313个IP地址。

联合调查组指出，Coupang在安全体系上存在多项缺陷，包括未建立对“电子通行证”是否为正常签发的验证机制。调查还显示，虽然公司曾在模拟渗透测试中发现相关漏洞，但后续整改并未落实到位。

同时，按公司内部规定，签名密钥应仅保存在“密钥管理系统”中，但实际却被存放在在职开发者的笔记本电脑内，且缺乏密钥签发记录管理机制。开发者离职后，相关签名密钥也未被立即更新。

调查组还指出，系统未能识别并拦截同一服务器用户标识被反复使用，以及伪造“电子通行证”带来的异常访问行为。

在合规层面，调查还确认Coupang存在违法情形。韩国科学技术信息通信部表示，Coupang自2025年11月17日16时向公司信息安全最高负责人报告相关情况起，超过24小时后才于11月19日21时35分向KISA申报。依据《信息通信网法》，企业在发现安全事件后应于24小时内申报，主管部门拟据此处以不超过3000万韩元罚款。

此外，调查还发现Coupang违反资料保全命令。韩国科学技术信息通信部于2025年11月19日22时34分下达资料保全命令，但Coupang未调整自动日志保存策略，导致2025年7月至11月约5个月的网页访问记录被删除；应用访问记录中，2025年5月23日至6月2日的数据也被删除。韩国科学技术信息通信部已就此向侦查机关提出调查请求。

韩国科学技术信息通信部要求Coupang于本月内提交防止再次发生的整改执行计划，并计划于3月至5月对落实情况进行检查。