Güney Koreli e-ticaret devi Coupang'ın CEO'su, yaklaşık 33,7 milyon müşterinin kişisel bilgilerinin açığa çıkmasına neden olan büyük bir veri ihlaline artan tepkinin ardından istifa etti.
Şirketin 10 Aralık tarihli duyurusunda, Coupang'ın ABD merkezli ana şirketinin baş idari sorumlusu Harold Rogers'ı geçici CEO olarak atadığı belirtildi.
Park'ın 10 Aralık'taki ayrılışı, Güney Kore'nin Amazon'u olarak bilinen perakendecinin, Haziran ayında başladığına inanılan bir olayda müşteri adlarının, e-posta adreslerinin, telefon numaralarının, teslimat adreslerinin ve sipariş geçmişlerinin bazı bölümlerinin sızdırıldığını doğrulamasından iki haftadan kısa bir süre sonra gerçekleşti. Şirkete göre herhangi bir ödeme bilgisi veya giriş bilgisi yoktu.
Park'ın açıklamasında şu ifadelere yer verildi:
“Yakın zamanda yaşanan kişisel bilgi olayıyla kamuoyunu hayal kırıklığına uğrattığım için derin üzüntü duyuyorum. Salgın ve sonrasındaki toparlanma süreci konusunda derin bir sorumluluk duygusu hissediyorum ve tüm pozisyonlarımdan istifa etmeye karar verdim.”
Rogers, müşteri güvenini yeniden tesis etmek ve ABD'li ana şirketin krize müdahaledeki rolünü koordine etmekle görevlendirildi. Şirket, müşteri güvenini esas alarak Rogers'ın “durumu proaktif bir şekilde ele almak ve müşteri endişelerini gidermek üzere” atandığını söyledi.
Şirket, geçici CEO'nun odak noktasının “kişisel bilgilerin sızdırılmasından kaynaklanan müşteri kaygısını hafifletmek” ve ihlalin neden olduğu “iç ve dış krizleri” ele alırken organizasyonu istikrara kavuşturmak olacağını ekledi.
Onun ayrılışı yalnızca güvenlik başarısızlıklarının boyutunu değil, aynı zamanda kamuoyunun güveninin çöküşünü ve Coupang'ın erken iletişimleri yanlış yönettiği yönündeki yaygın algıyı da yansıtıyor.
Rogers şu anda hayal kırıklığına uğramış bir müşteri tabanıyla ve ihlale yanıt olarak hesaplarını silen kullanıcıların sayısındaki artışla karşı karşıya. Şirket, URL'de tanıtım amaçlı meta veriler bırakarak özrünü boşa çıkardıktan sonra, müşterilerin krizi ele alma biçiminden daha da az etkilendiler.
Mevzuat baskısı müşteri deneyimine yönelik riskleri artırıyor
Park'ın ayrılışı, Başbakan Kim Min-seok'un günün erken saatlerinde yaptığı ve Coupang'ın veri koruma yasasını ihlal etmesi halinde hükümetin kapsamlı bir soruşturma yürüteceğini ve sert önlemler alacağını söylediği bir açıklamanın ardından geldi. Polis, önceki gün Coupang'ın Seul'deki genel merkezine baskın düzenleyerek, sızıntının nedeni ve şirketin kişisel verileri ele almasıyla ilgili genişleyen bir soruşturma kapsamında belgelere ve dijital kanıtlara el koydu.
Kriz, Güney Koreli hukuk firması SJKP'nin ABD ofisini, firmanın merkezi Seattle, Washington'da olduğundan toplu dava açmaya yöneltti. Coupang, New York Menkul Kıymetler Borsası'nda listelendiğinden, ihlali yatırımcılara derhal açıklamaması nedeniyle ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) tarafından para cezalarıyla karşı karşıya kalabilir.
SEC kuralları, ABD borsalarında işlem gören şirketlerin önemli siber güvenlik olaylarını, önem derecelerini belirledikten sonraki dört iş günü içinde bildirmelerini gerektirir. Coupang, Koreli yetkilileri 18 Kasım'da bilgilendirdi ancak ABD'li yatırımcıları daha sonraya kadar bilgilendirmedi ve bu durum uyumlulukla ilgili soruları gündeme getirdi.
Güney Kore Kişisel Bilgileri Koruma Komisyonu (PIPC), 10 Aralık'taki genel kurul toplantısında Coupang'ın geçmiş uygulamalarının Kişisel Bilgileri Koruma Yasası'nın birçok hükmünü ihlal edebileceğini belirten kapsamlı bir dizi düzeltici talep yayınladı.
PIPC, Coupang'ın kullanım koşullarının yeniden yazılmasıyla başlayan bir dizi zorunlu düzeltmenin ana hatlarını çizdi; bunlar şu anda şirketin yasa dışı üçüncü taraf erişiminin neden olduğu zararlardan sorumlu olmadığını belirten 2024 tarihli bir sorumluluk reddi beyanını içermektedir. Düzenleyici ayrıca şirkete, üyelik iptali sürecini çok karmaşık bulması, birden fazla adım, gizli menüler ve tekrarlanan istemlerin kullanıcılar için, özellikle de ücretli abonelik kullananlar için gereksiz sürtünme yaratması nedeniyle basitleştirmesini emretti.
Komite ayrıca Coupang'ın 3 Aralık'ta alınması gereken önlemlere uyumunun eksik olduğunu belirterek veri ihlali bildirimleri ve ikincil zararların önlenmesinde iyileştirmeler yapılmasını emretti. Coupang'ın ihlal uyarılarını en az 30 gün boyunca aktif tutması, müdahale ekibini güçlendirmesi ve çevrimiçi ve karanlık web forumlarında dolaşan raporları izleyerek sızdırılan hesap verilerinin izlenmesini yoğunlaştırması gerekiyor. Şirket, riskleri nasıl sınırladığını yedi gün içinde bildirmek zorundadır. PIPC şunları belirtti:
“Kişisel Bilgileri Koruma Komisyonu (PIPC), bu büyük ölçekli kişisel bilgi sızıntısının ciddiyetinin farkındadır ve sızıntıyı çevreleyen koşulları ve Kişisel Verileri Koruma Yasasının ihlallerini yakından araştırmaktadır.”
Eski bir Coupang çalışanının aylarca sisteme yetkisiz erişim sağladığından şüpheleniliyor.
Rogers, yoğun iç ve dış baskı altındaki bir şirketi devralır. Coupang, “kişisel bilgilerin sızdırılmasının neden olduğu rahatsızlıktan dolayı” özrünü yineledi ve “tekrarını önlemek için bilgi güvenliğini güçlendirme ve güveni yeniden tesis etmek için elimizden gelenin en iyisini yapma” sözü verdi.
Coupang'ın bir sonraki adımları, reaktif bir krizi müşteri deneyimini iyileştirmeye yönelik uzun vadeli bir taahhüde dönüştürüp dönüştüremeyeceğini belirleyecek.
Bir yanıt yazın