A Coreia do Sul multou o site de e-commerce Coupang em US$ 409 milhões — a maior penalidade de privacidade da história do país — por um vazamento que expôs 37,5 milhões de clientes. A causa não foi um hacker genial, mas uma chave de autenticação esquecida. A lição é a mesma que a LGPD brasileira cobra das empresas: segurança digital começa no básico bem feito.
Resumo do caso
- Maior multa de dados da Coreia do Sul: 624,7 bilhões de wons, cerca de US$ 409 milhões.
- 37,5 milhões de clientes tiveram dados pessoais expostos — dois terços da população sul-coreana.
- A causa raiz foi uma chave de acesso de um ex-funcionário terceirizado que nunca foi revogada.
- O caso serve de espelho para a Lei Geral de Proteção de Dados e a atuação da ANPD no Brasil.
O tamanho da multa da Coupang
Em 11 de junho de 2026, a Comissão de Proteção de Informações Pessoais da Coreia do Sul (PIPC) aprovou uma multa recorde de 624,68 bilhões de wons, cerca de US$ 409,3 milhões, contra a Coupang, segundo a agência de notícias Yonhap. É a maior sanção de privacidade já aplicada no país. O valor se divide em duas infrações principais: 423,5 bilhões de wons pelo vazamento dos dados de 37,5 milhões de usuários e outros 201,1 bilhões de wons pela coleta e armazenamento não autorizados da atividade online de 11,17 milhões de pessoas que acessavam sites e aplicativos de terceiros pela plataforma.
Foram impostas ainda ordens de correção, medidas de publicidade e um processo criminal contra a empresa, além de uma multa separada de 248 milhões de wons à subsidiária de logística Coupang Fulfillment Services, conforme o TechTimes. Horas depois do anúncio, a Coupang confirmou que vai recorrer da multa no Tribunal Administrativo de Seul.
A causa real: uma chave esquecida
O mais assustador do caso é que não houve ataque sofisticado. A presidente da PIPC, Kyung Hee Song, foi categórica no anúncio: o incidente não foi causado por um método de invasão avançado, mas pela gestão negligente e pelo sistema de segurança básica inadequado da Coupang, segundo o TechRepublic.
O que a investigação descobriu foi uma falha clássica de gestão de identidades e acessos. Um ex-funcionário terceirizado, de origem chinesa, continuou a usar uma chave de assinatura de autenticação que nunca foi revogada após a sua saída. Com ela, gerava tokens forjados e aparentemente legítimos para acessar repositórios de dados de clientes a partir de servidores no exterior, durante meses, sem disparar nenhum alerta. A deputada Choi Min-hee, que preside a comissão de tecnologia da Assembleia Nacional, chegou a afirmar que chaves de autenticação permaneceram ativas por até uma década na empresa.
O acesso anômalo foi detectado internamente em 14 de novembro de 2025. O vazamento, porém, corria desde 24 de junho daquele ano até 8 de novembro. Em outras palavras: a Coupang demorou quase cinco meses para perceber que sua base de clientes estava aberta. Chaves de assinatura são credenciais criptográficas que atestam a identidade de usuários ou serviços num sistema. Revogada, a chave perde validade. Esquecida — como ocorreu aqui — ela vira um passe permanente nas mãos de quem já não deveria ter nenhum acesso.
Por que a multa foi alta
A PIPC concluiu que houve um vazamento em larga escala, contrariando a alegação inicial da Coupang de que a exposição seria limitada. Dois fatores pesaram contra a empresa. O primeiro é a dimensão: 37,5 milhões de pessoas representam cerca de dois terços da população inteira da Coreia do Sul, segundo o TechTimes. O segundo é o tempo: atraso de cerca de 48 horas na notificação do incidente, o que a comissão classificou como agravante.
Pesquisadores de segurança lembram que a identidade, e não a defesa de perímetro, é hoje o ponto fraco definidor de incidentes em grande escala. Uma única credencial esquecida derrubou o equivalente a dois terços de um país. Não faltou tecnologia: faltou processo. O Privacy Today classificou o caso como marco de uma nova era de punições mais duras para vazamentos massivos na Ásia.
O que a LGPD exige
O caso Coupang soa familiar no Brasil. A Lei Geral de Proteção de Dados, em vigor desde 2020, passou por uma fase branda de fiscalização nos primeiros anos enquanto a Autoridade Nacional de Proteção de Dados se estruturava. A partir do segundo semestre de 2024, a ANPD passou a aplicar multas que pesam, e 2025 trouxe as primeiras decisões acima de R$ 10 milhões, segundo análise da consultoria BIPI.
O artigo 52 da LGPD prevê sanção de até 2% do faturamento da empresa no Brasil, limitada a R$ 50 milhões por infração, podendo haver multas diárias. O artigo 48 obriga a comunicação de incidentes de segurança à ANPD e aos titulares afetados. No caso da Coupang, o atraso na notificação foi agravante — no Brasil, o relógio de 72 horas começa a contar assim que a empresa toma conhecimento do incidente. Quem brinca com esse prazo corre risco real.
| Item | Caso Coupang (Coreia do Sul) | Paralelo LGPD (Brasil) |
|---|---|---|
| Norma aplicada | PIPA, fiscalizada pela PIPC | LGPD, fiscalizada pela ANPD |
| Multa máxima | 3% do faturamento global | 2% do faturamento no Brasil, até R$ 50 mi por infração |
| Notificação de incidente | Atraso de 48h foi agravante | Prazo de 72 horas após conhecimento |
| Pessoas afetadas | 37,5 milhões de clientes | Mesma lógica de escala aplicada a empresas locais |
Como evitar o mesmo erro
A boa notícia é que a correção não exige orçamento milionário. Exige disciplina. Toda empresa que trata dados pessoais precisa de um inventário vivo de credenciais: quem tem acesso, a quê, e por quê. Quando um funcionário ou terceiro sai, a revogação das chaves precisa ser automática e imediata, não uma tarefa esquecida numa planilha.
Monitoramento de acesso anômalo é o segundo pilar. Tokens forjados gerados a partir de uma chave velha poderiam ter sido detectados se houvesse alertas sobre origens incomuns de conexão, horários fora do padrão e volumes de leitura atípicos. O terceiro pilar é o plano de resposta a incidentes com cronômetro: ao perceber o problema, a empresa já precisa saber a quem avisar, em quanto tempo e como conter. Protocolos fechados como esse transformam uma crise em multa recorde numa crise controlada.
No Brasil, o Procon do Rio de Janeiro mostrou que a fiscalização está viva: em setembro de 2025, multou 32 farmácias em R$ 1 milhão por coleta irregular de dados pessoais, segundo o BrownPipe Blog. Se uma coleta irregular rende esse valor, um vazamento na escala da Coupang numa empresa brasileira seria catastrófico.
O recado para empresas brasileiras
A multa da Coupang não é uma curiosidade asiática. É o ensaio geral do que está por vir em mercados onde o regulador ganhou dentes. No Brasil, a ANPD já deixa claro que o padrão subiu do preenchimento de formulário para a apresentação de evidências — registros de tratamento, nomeação de encarregado de dados acessível e notificação de incidentes dentro do prazo.
Para o leitor brasileiro, o recado é duplo. Como consumidor, vale cobrar das empresas com quem compartilha dados o mesmo cuidado que a lei exige. Como profissional ou gestor, vale revisar hoje o inventário de acessos antes que uma chave esquecida vire manchete e multa. Se quiser entender o panorama completo do tema, leia também o nosso guia sobre segurança digital em 2026, o caso da healthtech que perdeu dados de 1,4 milhão de pessoas e como uma falha exposta roubava chaves de IA pelo mesmo tipo de descuido com credenciais.
Referências
- Yonhap via Daum — Coupang faces record-high fine of $409 million over data breach
- TechTimes — Coupang Hit With Record $409M Fine: One Unrevoked Key Exposed Two-Thirds of South Korea
- TechRepublic — South Korea Drops a $409M Fine on Coupang in Historic Data Breach Ruling
- Privacy Today — Coupang hit with record $409 million data breach fine in Korea
- BIPI — LGPD for SaaS: What Brazil Expects in 2026
- BrownPipe Blog — Procon do RJ multa 32 farmácias em R$ 1 milhão
- Securiti — Lei Geral de Proteção de Dados (LGPD)