Un MacBook Air de 1.000 dólares causó pérdidas de 1.170 millones de dólares a la empresa; el empleado solo quería evitar la cárcel.
Una clave robada, dos dispositivos y un intento desesperado de ocultar rastros: así describe Coupang la filtración de datos de clientes.
Varias semanas después del hackeo, la empresa surcoreana Coupang afirma que un exempleado obtuvo acceso no autorizado a datos de 33 millones de clientes, y luego intentó borrar las huellas —rompió un MacBook Air y lo hundió en un río. Sin embargo, en Coupang insisten en que el daño real podría ser notablemente menor de lo que sugieren las cifras: supuestamente el atacante revisó datos de aproximadamente 3.000 cuentas y, tras el ruido en los medios, borró todo lo que llegó a recopilar.
Según Coupang, el exempleado confesó el acceso indebido y prestó declaraciones certificadas. La empresa afirma que, junto con Mandiant, Palo Alto Networks y Ernst & Young, llevó a cabo una investigación, y sus resultados, según se indica, coinciden con la versión expuesta por el sospechoso y no contienen indicios de que esté mintiendo.
Coupang considera que la clave para los datos fue sustraída mientras el empleado aún trabajaba en la empresa y luego utilizada tras su despido. El informe indica que el sospechoso revisó los historiales de pedidos y los códigos de acceso a los edificios —aquellos que permiten a los repartidores dejar paquetes dentro de los complejos residenciales. El acceso, según la investigación, se realizó desde dos dispositivos: un equipo de sobremesa y un MacBook Air. El equipo de sobremesa lo entregó a los investigadores, y en uno de los discos, según se afirma, encontraron un script con el que se realizaron las acciones sobre los datos.
La parte más cinematográfica de la historia comenzó tras las publicaciones en los medios. Según Coupang, el sospechoso decidió deshacerse urgentemente de las pruebas: rompió el MacBook Air, lo colocó en una bolsa de lona de la marca Coupang junto con ladrillos y lo arrojó al río. Pero el intento de «ahogar» las pruebas no funcionó a la perfección: cuando encontraron el portátil, los investigadores lograron leer el número de serie, que, según se afirma, coincidía con el número del dispositivo vinculado a la cuenta de iCloud del sospechoso.
Coupang subraya por separado que, supuestamente, los datos de aproximadamente 3.000 clientes se almacenaban únicamente en esos dispositivos, no se exportaron a ningún otro lugar y se eliminaron después de que la historia se hizo pública. La empresa concluye que la magnitud del incidente es limitada, aunque la cifra «33 millones de registros afectados» suena preocupante frente a la población del país —unos 52 millones de personas.
No obstante, las consecuencias para Coupang prometen ser dolorosas. La empresa anunció que entregará a los 33 millones de clientes, cuyos registros, según ella, se vieron afectados por el acceso, vales por 50.000 wones (aprox. 35 USD) —esta medida se valora en 1.17 mil millones de dólares. Además, las autoridades de Corea del Sur iniciaron una investigación sobre la actividad de la empresa, y la práctica local muestra que investigaciones de este tipo pueden terminar en multas cuantiosas.
Las huellas digitales son tu debilidad, y los hackers lo saben