Против южнокорейской компании подан иск американских инвесторов за ненадлежащее раскрытие факта утечки данных.

Федеральный суд США по ценным бумагам возбудил коллективный иск против южнокорейского гиганта электронной коммерции Coupang. Компанию обвиняют в том, что она почти месяц скрывала масштабную утечку данных от регуляторов, нарушив правила Комиссии по ценным бумагам и биржам (SEC), которые требуют уведомления о существенных инцидентах кибербезопасности в течение четырех рабочих дней.

Иск, поданный 18 декабря, последовал всего через два дня после того, как Coupang наконец подала форму 8-K в SEC. Это произошло через 28 дней после обнаружения утечки 18 ноября.

В жалобе утверждается, что генеральный директор Бом Ким и финансовый директор Гаурав Ананд знали или безрассудно пренебрегли тем, что у компании «неадекватные протоколы кибербезопасности», которые позволили бывшему сотруднику получить доступ к данным клиентов в течение почти шести месяцев без обнаружения. Утечка затронула личную информацию из 33,7 миллиона клиентских аккаунтов, сообщила Coupang.

Сроки раскрытия информации нарушены

SEC приняла правила раскрытия информации о кибербезопасности в июле 2023 года, требуя от компаний раскрывать существенные инциденты в течение четырех рабочих дней с момента определения их существенности, согласно пункту 1.05 формы 8-K. Компании могут отложить раскрытие информации только в том случае, если Генеральный прокурор США определит, что это представляет существенный риск для национальной безопасности или общественной безопасности.

В жалобе утверждается, что Coupang не получила такого исключения. Компания должна была подать отчет к 24 ноября, после обнаружения утечки 18 ноября, но вместо этого ждала до 16 декабря.

В период между обнаружением утечки и ее раскрытием сообщения в СМИ вызвали организационные потрясения. Пак Дэ Джун, генеральный директор южнокорейского подразделения Coupang, подал в отставку 10 декабря, заявив, что «возьмет на себя полную ответственность как за инцидент, так и за его урегулирование». Гарольд Роджерс, главный юрисконсульт и главный административный директор Coupang, занял пост временного генерального директора корейского филиала.

Основатель и генеральный директор Coupang Бом Ким отказался явиться на слушания в парламенте Южной Кореи по поводу утечки данных, сославшись на деловые обязательства — решение, которое законодатели осудили как «систематическое уклонение от корпоративной ответственности».

Ключи аутентификации остались не отозваны после увольнения сотрудника

Расследование выявило, что причиной утечки стал бывший сотрудник, который сохранил действительные учетные данные аутентификации после увольнения из компании в 2024 году, согласно заявлениям южнокорейского законодателя Чхве Мин Хи. Этот человек, 43-летний гражданин Китая, работал в системах управления аутентификацией и присоединился к Coupang в ноябре 2022 года.

Представитель Чхве Мин Хи, председатель Комитета Национального собрания по науке, информационно-коммуникационным технологиям, вещанию и связям, опубликовала результаты анализа в пресс-релизе от 30 ноября, указав на сбои в основных процедурах безопасности. Компания не смогла обновить или отозвать ключи подписи — криптографические учетные данные, используемые для выдачи токенов доступа — после ухода сотрудника.

«Оставление долгосрочного действительного ключа аутентификации было не просто нарушением со стороны внутреннего сотрудника, а результатом организационных и структурных проблем в Coupang, которые пренебрегли системой аутентификации», — заявила Чхве в пресс-релизе.

Собственные данные Coupang, предоставленные законодателям, указывают на то, что компания устанавливала сроки действия ключей подписи токенов от пяти до десяти лет, с периодами ротации, варьирующимися в зависимости от типа ключа.

Юридический прецедент для правил SEC по кибербезопасности

Юридические наблюдатели отметили, что иск против Coupang, по-видимому, является одним из первых коллективных исков по ценным бумагам, напрямую оспаривающих соблюдение руководящих принципов SEC по раскрытию информации о кибербезопасности 2023 года.

«Именно поэтому новый иск против Coupang кажется мне особенно интересным: одно из главных обвинений в иске заключается в том, что компания якобы не выполнила обязательные раскрытия информации в соответствии с руководящими принципами SEC по раскрытию информации о кибербезопасности», — написало юридическое издание The D&O Diary в анализе дела.

В жалобе также утверждается, что Coupang сделала существенные ложные заявления в квартальных отчетах, поданных в августе и ноябре 2025 года. Эти отчеты включали раскрытие информации о рисках из годового отчета компании за 2024 год, детализирующего технологии шифрования и меры безопасности — заявления, которые, как утверждается в жалобе, «существенно преуменьшили риск существенного инцидента кибербезопасности для Coupang».

Когда Coupang наконец подала форму 8-K, компания заявила, что активировала процедуры реагирования на инциденты, заблокировала несанкционированный доступ и сообщила об инциденте корейским властям. В сообщении признавалось, что корейские регуляторы «потенциально могут наложить финансовые штрафы», но компания не смогла разумно оценить убытки.

Регуляторное внимание в Южной Корее

В Южной Корее Coupang грозят штрафы до 1,2 триллиона вон (814 миллионов долларов) в соответствии с Законом о защите личной информации, который требует от компаний уведомлять регуляторов об утечке в течение 24 часов после ее обнаружения и поддерживать соответствующие меры безопасности.

Полиция Южной Кореи дважды проводила обыски в штаб-квартире Coupang в Сеуле в рамках своего расследования. Президент Ли Чжэ Мён призвал к расширению положений о коллективных исках, заявив, что «каждый кореец пострадал» от утечки, затронувшей почти две трети населения страны (51,7 миллиона человек).

Иск направлен на создание класса инвесторов, которые приобрели ценные бумаги Coupang в период с 6 августа по 16 декабря. Несколько юридических фирм объявили, что расследуют аналогичные претензии. Конференция по управлению делом назначена на 20 марта.