HomeKI TechEin vergessener Token. 33,7 Millionen Datensätze gestohlen

Ein vergessener Token. 33,7 Millionen Datensätze gestohlen

9. Dezember 2025

33,7 Millionen Datensätze gestohlenEin Ex-Mitarbeiter von Coupang stahl 33,7 Millionen Kundendaten mit einem nicht widerrufenen Access Token. Der Zugriff blieb fast 5 Monate unentdeckt. Deine Offboarding-Prozesse sind wichtiger als deine Firewall.

Ein Ex-Mitarbeiter. Ein vergessener Token. 33,7 Millionen gestohlene Datensätze.

Das ist der Coupang-Fall. Er zeigt, wo echte Sicherheitslücken liegen.

Der Angreifer war Entwickler im Authentifizierungssystem. Er verließ das Unternehmen. Seine kryptografischen Signing Keys blieben aktiv.

Mit diesen digitalen Schlüsseln erstellte er gefälschte Access Tokens. Dann griff er unbemerkt auf das System zu.

Was du wissen musst:

  • Der Angriff lief vom 24. Juni bis 18. November 2025
  • Coupang investierte 2,7 Billionen Won in Cybersicherheit
  • Das Problem war kein Budget, sondern fehlende Governance
  • Die Strafe liegt bei bis zu 1 Billion Won (680 Millionen USD)

Sicherheitslücke

Wie blieb der Angriff fast 5 Monate unentdeckt?

Der unbefugte Zugriff startete am 24. Juni 2025.

Fast fünf Monate lang fiel nichts auf.

Am 18. November bemerkte Coupang ungewöhnliche Aktivitäten. Die erste Schätzung lag bei 4.500 betroffenen Kunden. Eine tiefere Sicherheitsprüfung zeigte die wahre Dimension.

Abgeordnete Choi Min-hee sagte: Coupang ignorierte das grundlegendste Sicherheitsverfahren zur Erneuerung von Signing Keys.

Kern der Sache: Große Investitionen helfen nicht, wenn die Grundlagen fehlen. Ein nicht aktualisierter Key öffnete die Tür für Monate.

Warum sind Access Tokens so gefährlich?

OAuth-Tokens geben permanenten Zugriff. Wer sie stiehlt, bewegt sich unsichtbar.

Kein Passwort nötig. Keine MFA. Keine Warnmeldungen.

Ein Access Token lebt kurz und dient dem sofortigen API-Zugriff. Ein Refresh Token hält länger, oft bis zu 90 Tage.

Refresh Tokens erzeugen neue Access Tokens. Einen Refresh Token zu stehlen ist wie ein Langzeit-Passwort zu kopieren.

Bei Coupang galten Token-Signing-Keys oft 5 bis 10 Jahre.

Hier die Sache: Tokens umgehen alle klassischen Sicherheitsmaßnahmen. Sie brauchen eigene Schutzstrategien und regelmäßige Rotation.

Was kostet schlechtes Offboarding wirklich?

Coupang investierte über 2,7 Billionen Won in Cybersicherheit. Das Unternehmen stand nach Samsung Electronics und KT an dritter Stelle.

Trotzdem blieb das Leck fast fünf Monate unentdeckt.

Das lag nicht am fehlenden Budget. Es war ein Governance-Zusammenbruch im internen Management.

Südkoreas Personal Information Protection Act erlaubt Bußgelder bis zu 3 Prozent des Jahresumsatzes. Für Coupang bedeutet das potenzielle Strafen von 1 Billion Won (etwa 680 Millionen USD).

Die Rechnung: Große Sicherheitsbudgets schützen nicht vor Prozessfehlern. Ein vergessener Zugang kostet mehr als jede Technologie-Investierung.

Was bedeutet das für dein Unternehmen?

Der 2024 Insider Threat Report zeigt: 71 Prozent der Organisationen haben mindestens moderate Schwachstellen bei Insider-Bedrohungen.

Datenschutzverletzungen durch böswillige Insider kosten durchschnittlich 4,99 Millionen USD.

Menschliches Versagen trug 2024 zu 95 Prozent aller Datenschutzverletzungen bei.

Der Missbrauch privilegierter Zugangsdaten spielt bei 74 Prozent der Datenschutzverletzungen eine Rolle.

Deine Aufgabe: Employee Offboarding ist ein kritischer Sicherheitskontrollpunkt. Der Coupang-Fall zeigt den Schaden, wenn Zugriffe nicht sofort widerrufen werden.

Häufig gestellte Fragen

Wie lange blieb der Coupang-Datendiebstahl unentdeckt?

Vom 24. Juni bis 18. November 2025. Fast fünf Monate blieben die Aktivitäten unbemerkt.

Was ist ein Token-Signing-Key?

Ein Token-Signing-Key ist ein kryptografischer Schlüssel, der Access Tokens erstellt und signiert. Mit ihm erzeugst du gültige Zugangstokens für Systeme und APIs.

Wie lange gelten Access Tokens normalerweise?

Access Tokens sind kurzlebig, oft nur Minuten bis Stunden. Refresh Tokens halten länger, bis zu 90 Tage. Signing Keys bei Coupang galten 5 bis 10 Jahre.

Warum reicht Multi-Faktor-Authentifizierung nicht?

MFA schützt beim Login. Gestohlene Tokens umgehen diesen Schritt komplett. Sie geben direkten API-Zugriff ohne neue Authentifizierung.

Was solltest du beim Employee Offboarding beachten?

Widerrufe alle Zugänge sofort am letzten Arbeitstag. Rotiere kritische Keys und Tokens. Prüfe Logging-Rechte und API-Zugänge systematisch.

Wie hoch sind typische Kosten bei Insider-Bedrohungen?

Datenschutzverletzungen durch böswillige Insider kosten durchschnittlich 4,99 Millionen USD. Bei großen Vorfällen wie Coupang steigen die Strafen auf Hunderte Millionen.

Was ist der Unterschied zwischen Access Token und Refresh Token?

Ein Access Token gibt sofortigen API-Zugriff und läuft schnell ab. Ein Refresh Token erzeugt neue Access Tokens und bleibt deutlich länger gültig.

Wie oft sollten Signing Keys rotiert werden?

Alle 90 bis 180 Tage. Definitiv bei jedem Mitarbeiterabgang im betroffenen Systembereich.

Wichtigste Erkenntnisse

  • OAuth-Tokens sind kritischer als Passwörter. Sie umgehen MFA und geben direkten API-Zugriff.
  • Offboarding-Prozesse entscheiden über deine Sicherheit. Ein nicht widerrufener Zugang öffnet Türen für Monate.
  • Große Budgets helfen nicht bei Governance-Fehlern. Coupang investierte Milliarden, versagte aber bei Basisprozessen.
  • 71 Prozent der Organisationen sind anfällig für Insider-Bedrohungen. Menschliches Versagen trägt zu 95 Prozent der Datenschutzverletzungen bei.
  • Dein größtes Risiko sind nicht externe Hacker. Es sind deine eigenen Prozesse und vergessene Zugänge.

 

Ähnliche Beiträge:

  1. Bitcoin-Miner bauen heimlich Milliarden-KI-Imperien auf
  2. Haben KI-Tools gerade den Vorsprung Ihrer Konkurrenz gestohlen?
  3. Die KI-Kosten Schwelle, die die meisten Unternehmen zurücklässt
  4. Warum Setzt OpenAI Alles Auf Diese Strategie?
Tags:,

Related Posts

Table of Contents

Index