Coupang’ın Güney Kore’deki büyük veri ihlali, artan sayıda Amerikan yatırımcısının Güney Kore hükümetine karşı yasal işlem başlatmasıyla birlikte jeopolitik bir sorun haline geldi.
Veri güvenliği ihlalleri üzerine başlanılan düzenleyici araştırma, ABD merkezli şirkete karşı iddia edilen haksız muamele ile ilgili daha geniş bir anlaşmazlığa dönüştü.
Güney Kore, Tayvan ve Japonya’da faaliyet gösteren Coupang, sıklıkla “Güney Kore’nin Amazon’u” olarak adlandırılıyor; ancak uluslararası merkezi aslında Seattle, Washington’da bulunuyor.
Şirketin yatırımcıları, Korea–U.S. Free Trade Agreement (FTA) çerçevesinde uluslararası tahkim talep ediyor. 23 Ocak 2026’da, ABD yatırım şirketleri Greenoaks ve Altimeter, Güney Kore Adalet Bakanlığı’na başvurarak, veri ihlaline yönelik hükümetin ayrımcı olarak nitelendirdiği araştırmadan dolayı kayıplar yaşadıklarını bildirdi. Yatırımcılar, Korea–U.S. FTA altında yatırımcı-devlet anlaşmazlık çözümü (ISDS) tahkimi başlatmayı planladıkları belirtildi.
Güney Kore Adalet Bakanlığı, Perşembe günü Abrams Capital, Durable Capital Partners ve Foxhaven Asset Management’ın davaya katıldığını açıkladı. Yatırımcılar, hükümetin e-ticaret şirketine karşı hukuka aykırı davrandığını iddia ediyor.
Olayın özeti: Aralık ayında Coupang, yaklaşık 34 milyon Koreli müşterinin kişisel bilgilerinin beş aydan fazla süredir süregelen bir veri ihlalinde sızdırıldığını açıkladı. İhlal, müşteri isimlerini, e-posta adreslerini, telefon numaralarını, adreslerini ve bazı sipariş tarihlerini içeriyordu.
Diğer teknoloji ihlalleri Güney Kore’de daha az ciddi cezalara neden olurken, Coupang olağanüstü hükümet baskısıyla karşı karşıya kaldı. Hükümet, Coupang’ın yatırımcıları tarafından bildirilenlere göre, büyük para cezaları, faaliyet durdurma ve yönetici seyahat yasakları ile tehdit etti.
Güney Kore Kişisel Bilgi Koruma Komisyonu (PIPC), 30 milyondan fazla Coupang hesabının açığa çıktığını söyledi; ancak Coupang’ın yatırımcılarına göre yalnızca 3,000 etkilenen hesap var.
Aralık ayında, Güney Kore hükümeti ve PIPC, Coupang ihlalinin yeterince ciddi olduğunu belirterek daha yüksek ceza uygulanabileceğini açıkladı. Mevcut yasaya göre, cezalar gelirinin %3’ü ile sınırlı; bu da Coupang için 800 milyon dolardan fazla anlamına geliyor; ancak bazı yasama organı üyeleri bunu %10’a çıkarmayı ve geriye dönük uygulamayı önerdi.
Yeni yasa geçerse bile, Coupang için uygulanmayacak; çünkü ihlal, kurallar değişmeden önce gerçekleşti. Ancak, ülkedeki bir Demokrat Parti milletvekili, ya yeni bir yasayla ya da özel bir parlamenter yasayla cezai yaptırımlar uygulanmasını önerdi. PIPC de bu fikri destekledi. Güney Kore Cumhurbaşkanı Lee Jae Myung da, şirketin yeterli sonuçlarla yüzleşmediğini belirterek ağır yaptırımlar için kamuya açık bir çağrıda bulundu.
Yatırımcıların avukatı tarafından yayımlanan niyet bildirimine dayanarak, yatırımcılar Güney Kore hükümetinin Coupang’a karşı yaptıklarının “eşi benzeri görülmemiş bir saldırı” olduğunu iddia ediyorlar. Bildirimde, şu ifadeler yer almakta:
“Hükümetin, Koreli ve Çinli rakiplerine avantaj sağlamak için bir ABD şirketine yönelik eşi benzeri görülmemiş saldırısı, Antlaşma, uluslararası hukuk ilkeleri ve Kore ile ABD arasındaki tarihi ortaklık açısından açıkça bir ihlal teşkil ediyor. Hükümetin şok edici davranışı, ABD’li yatırımcıları bir çıkmaza sokmuştur. Hükümet, Coupang’a yönelik saldırılarına hemen son vermediği takdirde, şirketin normal işleyiş yeteneğini tamamen geri kazandırtmazsa ve bu şirkete karşı süregelen ayrımcılık kampanyasını kalıcı olarak sonlandırmazsa, ABD’li yatırımcılar yatırımlarını korumak ve hükümetin devam eden Antlaşma ihlallerini düzeltmek için Kore’ye karşı milyarlarca dolarlık tazminat talep etmek zorunda kalacaklardır.”
Bu bildirim, ön aşama olarak kabul ediliyor. Güney Kore Adalet Bakanlığı, şu anda niyet bildirimini incelemektedir. Bu, resmi tahkim süreçlerinin başlamasından önce zorunlu bir 90 günlük danışma sürecini başlatmaktadır.
Coupang, Abrams Capital ve Foxhaven Asset Management, TechCrunch’ın yorum talebine yanıt vermedi. Durable Capital Partners’a ulaşılamadı.
Yatırımcıların bildirimine göre, Güney Kore’nin veri ihlalleriyle başa çıkma yaklaşımı tutarsız. KakaoPay, SK Telecom, Upbit ve Alibaba’nın AliExpress’i de içeren diğer yakın tarihli veri ihlalleri, dikkat çekici örnekler olarak gösteriliyor.
KakaoPay, 54 milyar müşteri kaydını Alipay Singapur’a aktarmış; ancak yalnızca 10 milyon dolarlık bir ceza ve CEO’ya bir uyarı ile cezalandırılmıştır. SK Telecom ise büyük bir SIM kart ihlalinin ardından 91 milyon dolar ceza
Güney Kore Bilgi ve İletişim Bakanlığı, Çarşamba günü Coupang veri ihlalinin, şirketin kimlik doğrulama sistemlerinde çalışan eski bir çalışan tarafından gerçekleştirildiğini ve bu kişinin hem kimlik doğrulama çerçevesi hem de anahtar yönetim sistemi içindeki zayıflıkları bildiğini açıkladı.
Bakanlık, Coupang’ın ihlali Korea Internet & Security Agency (KISA) ‘ya 24 saat içinde bildirmediğini ve Kasım 2025’teki veri koruma kararını tam olarak uygulamadığını öne sürerek, önemli web ve uygulama erişim günlüklerinin silinmesine yol açtığını belirtti. Bakanlık, konuyu araştırıcılara devretti ve Coupang’dan Şubat 2026’ya kadar bir önleme planı sunmasını istedi, uyum Temmuz ayı boyunca takip edilecektir.
Coupang, bir açıklama yaparak, eski bir çalışanın 33 milyonun üzerinde hesap verisine eriştiğini ancak yalnızca yaklaşık 3,000 kaydı sakladığını ve hiç bir hassas bilgiyi (ödeme verileri, şifreler veya resmi kimlikler gibi) ele geçirmediğini belirtti.
Coupang, Aralık ayında CEO’su Dae-jun Park’ı, şirketin ABD merkezinin üst düzey avukatı Harold Rogers ile değiştirdi.
CSIS’ye bağlı kıdemli analist Adam Farrar, Impossible State podcast’inde geçenlerde, Coupang ile başlayan büyük veri ihlalinin ABD ve Güney Kore arasındaki daha geniş bir mesele haline geldiğini belirtti.
Farrar, bu davanın, ABD’nin Amerikan teknoloji şirketlerine karşı haksız muamele iddialarını güçlendirdiğini ve Güney Kore için ticaret ve gümrük riski oluşturduğunu ifade etti.
“Coupang’daki büyük veri ihlali, Ulusal Meclis’te bir dizi araştırmaya ve Coupang ile yöneticiler arasında son birkaç ay içinde oldukça sert bir karşılıklı çatışmaya neden oldu,” diyen Farrar, “Coupang, kazancının neredeyse tamamını Kore’den elde etmesine rağmen, şu anda ABD merkezli bir şirket.” dedi.
Sorun, Coupang ile sınırlı kalmayıp, Güney Kore’nin ABD şirketlerini hedef alıp almadığı ile ilgili daha geniş soruları gündeme getiriyor.
Eleştirmenler, içerik sağlayıcıları için ağ kullanım ücretlerini, Apple’ın App Store ve Google Play ödeme kurallarını ve ulusal güvenlik nedenleriyle Google Haritalar gibi hizmetleri sınırlayan veri yerelleştirme gerekliliklerini içeren dijital politikaların yerli firmaları desteklediğini öne sürüyor.
