Südkoreas größte E-Commerce-Plattform Coupang erlebte am 6. Mai 2026 einen massiven Aktieneinbruch von über 16 %. Zuvor meldete das Unternehmen für das erste Quartal einen Nettoverlust von 266 Millionen US-Dollar – eine direkte Folge des gigantischen Datenlecks von 2025, bei dem die Daten von 33,7 Millionen Kunden offengelegt wurden. Der Kurssturz erfolgte genau zu dem Zeitpunkt, als Coupang mit der Auszahlung seines 1,17 Milliarden Dollar schweren Gutschein-Entschädigungsplans begann.
Wie es zum Datenleck kam
Der Vorfall geht auf den 24. Juni 2025 zurück. Ein ehemaliger IT-Mitarbeiter von Coupang behielt nach seinem Ausscheiden unbefugten Zugriff auf die Unternehmenssysteme. Über ausländische Server griff der Ex-Mitarbeiter auf die persönlichen Daten von etwa 33,7 Millionen Kunden in ganz Südkorea zu.
Zu den gestohlenen Daten gehörten Namen, Telefonnummern, Lieferadressen, E-Mail-Adressen und die Bestellhistorie. Coupang bestätigte später, dass alle entwendeten Daten sichergestellt und die Speichermedien des Täters beschlagnahmt wurden. Auf dem Computer des Angreifers wurden nur etwa 3.000 Datensätze gefunden; es gibt keine Hinweise darauf, dass Daten verkauft oder verbreitet wurden.
Was den Schaden jedoch massiv vergrößerte, war der Zeitfaktor. Coupang informierte die betroffenen Kunden erst Ende November 2025 – rund fünf Monate nach dem Vorfall. Diese Verzögerung löste behördliche Untersuchungen und öffentliche Empörung aus, was schließlich zum Rücktritt von Park Dae-jun führte, der das südkoreanische E-Commerce-Geschäft leitete.
Der 1,17-Milliarden-Dollar-Plan – und warum er fehlschlug
Im Dezember 2025 kündigte Coupang an, Einkaufsgutscheine im Wert von 50.000 Won (ca. 34,84 $) an jeden der 33,7 Millionen Betroffenen auszugeben – eine Gesamtsumme von etwa 1,17 Milliarden US-Dollar. Die Verteilung der Gutscheine begann am 15. Januar 2026.
Verbraucherschutzgruppen zeigten sich wenig beeindruckt. Der nationale Rat der Verbraucherorganisationen in Korea bezeichnete den Plan öffentlich als „Marketing-Instrument“, um den Umsatz anzukurbeln, statt die Opfer wirklich zu entschädigen. Kritiker betonten, dass ein Gutschein, der nur bei Coupang selbst eingelöst werden kann, dem Unternehmen ebenso nützt wie dem Kunden – und von den Opfern verlangt, erneut Vertrauen in die Plattform zu setzen.
Q1 2026 Bilanz: Die finanzielle Quittung
Der Börsenkrach am 6. Mai wurde durch die Veröffentlichung der Ergebnisse für das erste Quartal 2026 ausgelöst. Während der Umsatz um respektable 8 % stieg, wies die Bilanz einen Nettoverlust von 266 Millionen Dollar aus – getrieben durch die Entschädigungszahlungen und Sicherheitskosten. Analysten hatten mit Profitabilität gerechnet.
Die Coupang-Aktie fiel innerhalb einer Sitzung um ca. 16,6 % und erreichte ein Acht-Monats-Tief. Der Ausverkauf spiegelte nicht nur den unmittelbaren Verlust wider, sondern auch die Sorge der Anleger über rechtliche Risiken und den langfristigen Vertrauensverlust der Kunden.
Ein kleiner Lichtblick: Laut Management kehrten bis April 2026 etwa 80 % der WOW membership Abonnements, die während des Skandals gekündigt wurden, zurück. Die Kundenbindung erholt sich, doch die finanziellen Folgen werden das Unternehmen noch lange begleiten.
Insider-Bedrohungen: Eine unterschätzte Gefahr
Das Coupang-Datenleck ist ein Paradebeispiel für eine Insider-Bedrohung – kein hochkomplexer Hackerangriff, sondern ein Ex-Mitarbeiter, dessen Zugang nicht gesperrt wurde. Dies ist eine der am einfachsten zu verhindernden Arten von Sicherheitsverletzungen.
- Sofortiger Entzug des Zugriffs: Alle Anmeldedaten, Token, VPNs und Berechtigungen müssen bei Beendigung des Arbeitsverhältnisses sofort deaktiviert werden.
- Überwachung privilegierter Zugriffe: Logs sollten ungewöhnliche Aktivitäten von Konten melden, die nicht mehr aktiv sein dürften.
- Regelmäßige Audits: Periodische Überprüfungen finden „verwaiste“ Konten, bevor sie missbraucht werden können.
- Zero-Trust-Prinzipien: Jeden Nutzer als potenzielles Risiko zu behandeln, minimiert die Angriffsfläche drastisch.
Was betroffene Nutzer tun sollten
Wenn Sie zu den 33,7 Millionen Betroffenen gehören, sollten Sie aktiv werden. Auf große Datenlecks folgen oft Phishing-Angriffe, bei denen Betrüger die Informationen nutzen, um täuschend echte E-Mails zu versenden.
- Überwachen Sie Ihre Bankkonten auf unbefugte Transaktionen.
- Seien Sie skeptisch bei E-Mails oder SMS im Namen von Coupang oder Banken.
- Ändern Sie Ihr Coupang-Passwort und Passwörter bei Diensten, wo Sie dieselben Daten nutzen.
- Aktivieren Sie die Zwei-Faktor-Authentisierung (2FA).
Datenlecks zeigen, dass unsere Informationen überall verteilt sind. Die Nutzung eines VPN für das tägliche Surfen verhindert das Monitoring auf Netzwerkebene. So bleiben Ihre Sitzungen verschlüsselt, selbst wenn eine einzelne Plattform versagt.
