Coupang, platform e-commerce terbesar di Korea, kini memasuki periode krisis korporasi setelah terjadi insiden kebocoran data pelanggan dengan jumlah yang disebut mencapai sekitar 33,7 juta akun. Peristiwa ini menjadi sorotan karena besarnya skala data yang bocor dan rangkaian respons dari berbagai pihak seperti perusahaan, regulator, serta reaksi publik setelahnya.
Kebocoran dilaporkan terkait ditemukannya akses tidak sah melalui server luar negeri Coupang dalam rentang 24 Juni hingga 8 November 2025. Perusahaan menyatakan baru menemukan aktivitas tersebut pada 18 November. Pada tahap awal, laporan yang disampaikan menyebut sekitar 4.500 akun terdampak. Setelah pemeriksaan lanjutan, angka tersebut direvisi menjadi sekitar 33,7 juta akun, yang berarti sebagian besar pengguna Coupang di Korea berada dalam cakupan insiden.
Kronologi dan Jenis Data yang Terekspos
Informasi yang disebut bocor mencakup nama, alamat email, nomor telepon, alamat pengiriman, serta catatan pesanan terbaru. Perusahaan menyebutkan bahwa informasi pembayaran dan data login pengguna tetap aman. Meskipun demikian, kombinasi antara identitas dan data kontak, ditambah dengan alamat pengiriman serta riwayat pesanan, dipandang cukup untuk meningkatkan risiko penipuan berbasis rekayasa sosial dan penyalahgunaan identitas di ranah daring.
Dalam pemberitaan yang beredar, seorang mantan karyawan berkewarganegaraan Tiongkok disebut sebagai pihak yang dicurigai melakukan akses tidak sah. Status penanganan pelaku disebut belum tuntas pada saat berbagai laporan media diterbitkan. Fokus investigasi juga mengarah pada fakta bahwa insiden telah berjalan selama beberapa bulan sebelum terdeteksi, sehingga fokus utama bergeser dari sekadar “mengapa kebocoran terjadi” menjadi “mengapa tidak dapat terdeteksi lebih cepat”.
Permintaan Maaf dan Kesalahan Komunikasi
Pada 30 November 2025, Coupang menyampaikan permintaan maaf secara publik setelah mengonfirmasi jumlah akun yang terdampak. Dalam pernyataan awal, perusahaan menggunakan istilah yang setara dengan “paparan informasi” dan bukan “kebocoran informasi”. Pilihan istilah ini memicu kritik luas karena dinilai tidak mencerminkan parahnya insiden. Setelahnya, perusahaan menerbitkan ulang pemberitahuan. Namun, muncul masalah lain ketika judul pratinjau laman pemberitahuan diduga menampilkan promosi terkait rekomendasi manfaat dan penawaran oleh Coupang.
Selain itu, perhatian publik juga tertuju pada jeda waktu deteksi. Dokumen yang dikaitkan dengan penjelasan pihak Coupang di lembaga legislatif menggambarkan bahwa serangan dimulai sejak bulan Juni, namun perusahaan tidak menangkap indikasi keluarnya data dalam jumlah besar hingga 18 November. Jika alur ini akurat, isu utama berada pada pemantauan server luar negeri, desain kontrol akses, serta sistem peringatan internal platform.
Perubahan Kepemimpinan dan Investigasi Pemerintah
Tekanan meningkat ketika CEO Coupang Korea, Park Dae-jun, mengundurkan diri pada 10 Desember 2025 dengan alasan tanggung jawab atas insiden. Park disebut baru memegang posisi CEO tunggal selama sekitar tiga bulan sebelum mundur. Perusahaan menunjuk Harold Rogers, pejabat General Counsel (GC) dan Chief Administrative Officer (CAO), sebagai CEO interim untuk divisi Korea.
Pihak pemerintah pun telah memulai investigasi, di mana penegak hukum melakukan penggeledahan di kantor pusat Coupang di Seoul pada 8 dan 9 Desember. Sejumlah pejabat pemerintah menyampaikan rencana penegakan tegas apabila ditemukan pelanggaran hukum. Selain melibatkan kepolisian dan otoritas keamanan siber, isu ini juga masuk ke Majelis Nasional, dengan pemanggilan eksekutif Coupang untuk memberikan keterangan di hadapan dewan.
Kompensasi, Asuransi, dan Potensi Eksposur Finansial
Pertanyaan publik berikutnya adalah kompensasi bagi pengguna. Dalam keterangan di forum legislatif, Park menyatakan pengguna yang terdampak akan diberi kompensasi, namun rincian disebut belum disampaikan secara jelas karena investigasi masih berjalan.
Pada saat yang sama, sejumlah analisis mengacu pada preseden ganti rugi di pengadilan Korea yang kerap berada pada kisaran 100.000 won per orang untuk kasus kebocoran data. Jika pendekatan ini diterapkan untuk 33,7 juta akun, nilai total kompensasi yang harus dibayarkan dapat mencapai triliunan won. Kerangka hukum perlindungan data pribadi juga memungkinkan pemberian ganti rugi bersifat punitif hingga kelipatan tertentu bila kelalaian terbukti, sehingga risiko finansial dapat meningkat.
Sorotan lain adalah besaran polis asuransi kebocoran data. Coupang disebut hanya memiliki asuransi kompensasi kebocoran informasi pribadi pada tingkat minimum legal sebesar 1 miliar won. Ketika angka ini dibandingkan dengan skenario ganti rugi massal, publik menilai ada ketimpangan antara perlindungan yang tersedia dan potensi kerugian pengguna.
Isu Kepatuhan dan Praktik Internal
Pemeriksaan oleh pihak berwajib juga menyoroti klausul layanan yang sempat memuat penyangkalan tanggung jawab atas kerugian akibat akses oleh pihak ketiga tanpa izin. Otoritas perlindungan data disebut meminta klausul tersebut dihapus dan proses pembatalan keanggotaan disederhanakan.
Secara bersamaan, muncul tuduhan bahwa akses sistem tidak dicabut secara memadai ketika seorang mantan pengembang meninggalkan perusahaan. Jika hal ini terbukti, isu tersebut masuk ke ranah kontrol akses, offboarding karyawan, dan tata kelola keamanan yang biasanya menjadi standar dasar perusahaan teknologi.
Jalur Gugatan di Korea dan Amerika Serikat
Selain investigasi oleh pemerintah, proses litigasi juga berlangsung. Di Korea, beberapa firma hukum telah merekrut peserta gugatan kelompok, dengan nilai tuntutan yang disebut berada pada rentang angka ratusan ribu won per orang. Di Amerika Serikat, langkah penyusunan gugatan class action (gugatan perwakilan kelompok) diarahkan ke Pengadilan Distrik Federal untuk Distrik Selatan New York, dengan lebih dari 2.300 orang telah mendaftar pada 12 Desember 2025.
Fokus gugatan di AS banyak menyinggung tentang tata kelola perusahaan dan kewajiban pengungkapan detail insiden sebagai emiten yang tercatat di bursa, termasuk pembahasan tentang aturan pelaporan insiden siber dalam jangka waktu tertentu setelah perusahaan menilai sebuah insiden bersifat material.
Struktur Kepemilikan dan Pertanyaan Akuntabilitas
Krisis ini turut membuka kembali diskusi tentang struktur kepemilikan Coupang. Pendiri perusahaan, Bom Kim, disebut memiliki porsi saham tunggal yang tidak dominan namun menguasai mayoritas hak suara melalui saham kelas ganda dengan hak suara lebih besar. Model ini lazim pada sebagian perusahaan teknologi, tetapi dalam situasi kritis, struktur tersebut sering kali dipertanyakan karena dapat membatasi tekanan pemegang saham minoritas terhadap keputusan manajemen dan prioritas investasi, termasuk investasi keamanan.
Dalam narasi publik, ketiadaan pernyataan langsung dari pendiri juga menjadi bagian dari pembacaan krisis. Diskusi tersebut kemudian menyatu dengan kritik terhadap perusahaan di masa lalu, sehingga peristiwa kebocoran data tidak berdiri sendiri, melainkan beririsan dengan persepsi publik tentang akuntabilitas perusahaan.
Reaksi Pengguna, Perpindahan Trafik, dan Upaya Boikot
Di kalangan pengguna, insiden ini diikuti dengan fluktuasi trafik. Data yang beredar menyebut jumlah pengguna aktif harian sempat meningkat sesaat ketika orang mengecek akun dan mengubah kata sandi, lalu menurun dalam beberapa hari berikutnya. Dalam periode yang sama, beberapa platform pesaing dilaporkan mengalami kenaikan trafik. Ada pula keluhan tentang proses penutupan akun yang dianggap panjang, sehingga regulator komunikasi membuka pemeriksaan apakah mekanisme tersebut menghambat hak pengguna untuk berhenti berlangganan.
Di media sosial, muncul unggahan yang menampilkan penghapusan akun sebagai bentuk boikot. Bersamaan dengan itu, sebagian pengguna menyatakan tetap sulit berpindah karena layanan Coupang telah terintegrasi dengan kebutuhan harian seperti pengiriman cepat dan layanan pesan-antar.
Kasus Coupang pada 2025 memperlihatkan bagaimana insiden keamanan data dapat berkembang menjadi krisis tata kelola, karena persoalan tidak berhenti pada paparan informasi, tetapi juga mencakup deteksi, komunikasi, kepatuhan, dan desain akuntabilitas internal. Dalam situasi seperti ini, respons awal perusahaan sering menentukan arah persepsi publik, terlepas dari hasil akhir investigasi.
