Coupangs massiva dataintrång i Sydkorea har blivit en geopolitisk flampunkt, med ett växande antal av företagets amerikanska investerare som vidtar rättsliga åtgärder mot den sydkoreanska regeringen.
Det som började som en regulatorisk utredning av datasäkerhetsbrister har expanderat till en bredare tvist om påstådd misshandel av USA-baserade företag.
Coupang, som är verksamt i Sydkorea, Taiwan och Japan, kallas ofta för ”koreanska Amazonas”, men dess globala huvudkontor ligger faktiskt i Seattle, Washington.
Bolagets investerare söker för närvarande internationell skiljedom enligt frihandelsavtalet mellan USA och Korea (FTA). Den 23 januari 2026 lämnade amerikanska värdepappersföretag Green Oaks och Altimeter in anmälningar till Sydkoreas justitieministerium och hävdade att de led förluster som ett resultat av vad regeringen kallade en diskriminerande utredning om dataintrång. De sa att de planerar att driva en tvistlösning mellan investerare och stater (ISDS) med skiljeförfarande enligt USA-Korea FTA.
Sydkoreas justitieministerium meddelade på torsdagen att ytterligare tre investerare har anslutit sig till rättegången, inklusive Abrams Capital, Durable Capital Partners och Foxhaven Asset Management. De hävdar att regeringen agerade olagligt mot e-handelsföretaget.
För att sammanfatta händelsen avslöjade Coupang i december att ett dataintrång som hade pågått i mer än fem månader hade avslöjat personlig information om cirka 34 miljoner koreanska kunder. Företaget sa att överträdelsen inkluderade kundnamn, e-postadresser, telefonnummer, leveransadresser och viss orderhistorik.
Medan andra tekniköverträdelser i Sydkorea har resulterat i mindre stränga straff, har Coupang varit under extraordinär press från regeringen. Regeringen har enligt uppgift hotat med rejäla böter, avstängningar av företag och reseförbud för chefer, medan Coupang-investerare hävdar att regeringen har försökt stänga av offentlig kommunikation och upprepade gånger felaktigt framställt omfattningen av kränkningarna.
tech crunch event
boston, massachusetts
|
23 juni 2026
Sydkoreas kommission för skydd av personuppgifter (PIPC) meddelade att mer än 30 miljoner Coupang-konton äventyrades, men Coupang-investerare säger att endast 3 000 konton påverkades.
Den sydkoreanska regeringen och PIPC sa i december att Coupangs kränkningar var tillräckligt allvarliga för att motivera höjda böter. Enligt gällande lag är straffavgiften maximerad till 3 % av vinsten, eller mer än 800 miljoner dollar för Coupang, enligt amerikanska investerare, men vissa lagstiftare har föreslagit att höja taket till 10 % och tillämpa det retroaktivt.
Även om en ny lag skulle antas skulle den inte gälla för Coupang eftersom överträdelsen inträffade innan reglerna ändrades. Men enligt nyhetsrapporter föreslog landets demokratiska lagstiftare att utdöma straffböter antingen genom ny lagstiftning eller särskild parlamentarisk lagstiftning, och PIPC stödde idén. Sydkoreas president Lee Jae-myung krävde också offentligt stränga straff och föreslog att företaget inte fick tillräckliga konsekvenser.
Baserat på ett meddelande om avsikt utfärdat av investerarnas juridiska rådgivare, hävdar investerarna att den sydkoreanska regeringens agerande uppgår till en ”oöverträffad attack” mot Coupang. I sin inlaga hävdar de:
Regeringens aldrig tidigare skådade attack mot amerikanska företag för att gynna koreanska och kinesiska konkurrenter är ett grovt brott mot fördrag, principer för internationell rätt och det historiska partnerskapet mellan Sydkorea och USA…Regeringens chockerande agerande gör att amerikanska investerare inte har något val. Om regeringen inte omedelbart avslutar sina attacker mot Coupang, fullt ut återställer företagets förmåga att verka och permanent avslutar sin långvariga kampanj för diskriminering av företaget, kommer amerikanska investerare att tvingas begära miljarder dollar i skadestånd från Sydkorea för att skydda sina investeringar i Coupang och korrigera regeringens pågående avtalsexproprieringar, inklusive försök.
Anmälan är ett preliminärt steg innan rättstvister. Sydkoreas justitieministerium överväger för närvarande ett meddelande om avsikt att påbörja en obligatorisk 90-dagars samrådsperiod innan formell skiljedom påbörjas.
Coupang, Abrams Capital och Foxhaven Asset Management svarade inte på TechCrunchs begäran om kommentarer. Durable Capital Partners kunde inte nås.
Investerares anmälningar säger att Sydkoreas svar på dataintrång har varit inkonsekvent, med hänvisning till andra dataintrång i Sydkorea nyligen, inklusive de som involverar Kakao Pay, SK Telecom, Upbit och Alibabas AliExpress.
KakaoPay ska ha överfört 54 miljarder kundregister till Alipay Singapore men fick bara böta 10 miljoner dollar och en varning till sin VD, medan SK Telecom bötfälldes 91 miljoner dollar för ett massivt SIM-kortintrång. Upbit och AliExpress såg också minimala statliga åtgärder. Investerare säger att dessa exempel belyser en stark kontrast till regeringens svar på Coupang.
Sydkoreas departement för vetenskap, information och kommunikation meddelade på onsdagen att dataintrånget i Coupang utfördes av en tidigare anställd som arbetade på företagets autentiseringssystem och var medveten om sårbarheter i både dess autentiseringsramverk och nyckelhanteringssystem.
Ministeriet hävdar att viktiga webb- och appåtkomstloggar raderades eftersom Coupang inte rapporterade intrånget till Korea Internet Security Agency (KISA) inom 24 timmar och inte fullt ut implementerade ordern om datalagring från november 2025. Ministeriet hänvisade ärendet till brottsbekämpande myndigheter, beordrade Coupang att lämna in en förebyggande plan senast i februari 2026 och övervakade efterlevnaden fram till juli.
Coupang sa i ett uttalande att den anställde, som är kines, hade tillgång till data på mer än 33 miljoner konton, men bara behöll cirka 3 000 innan raderingen, och inte fick tillgång till känslig information som betalningsdata, lösenord eller statliga ID.
Coupang ersatte också VD Park Dae-jung i december med Harold Rogers, en toppadvokat på det amerikanska moderbolaget.
Adam Farrar, senior associate på CSIS och senior geoekonomianalytiker för APAC på Bloomberg, sa på tisdagens ”Impossible State”-podcast att det som började som ett massivt dataintrång som involverade Coupang har vuxit till en bredare fråga mellan USA och Sydkorea.
Farrar sa att fallet förstärker bredare amerikanska påståenden om orättvis behandling av amerikanska teknikföretag och ökar handels- och tullrisker för Sydkorea när den amerikanska kongressen blir mer involverad.
”Det massiva dataintrånget[av Coupang]har lett till en serie undersökningar i kongressen och några mycket heta utbyten med Coupang och en rad chefer under de senaste månaderna,” sa Farrar i podcasten. ”Den ytterligare dynamiken här är att medan Coupang får nästan alla sina intäkter från Sydkorea, är det nu ett USA-baserat företag, vilket ytterligare stärker maktrelationen på båda sidor och påverkar hur företaget uppfattas och ses.”
Frågan går längre än Coupang och väcker bredare frågor om huruvida Sydkorea orättvist riktar sig mot amerikanska företag, fortsatte Farah.
Kritiker pekar på digital policy som de säger gynnar inhemska företag, inklusive nätverksavgifter för innehållsleverantörer som Netflix, betalningsregler för Apples App Store och Google Play och krav på datalokalisering som begränsar tjänster som Google Maps av nationella säkerhetsskäl.
