Hacker griffen auf DoorDash-Kundeninformationen und einige Teilzahlungsdaten zu
Gigant für Lebensmittellieferungen DoorDash hat eine Datenschutzverletzung bestätigt, bei der persönliche Daten von Kunden offengelegt wurden.
Im ein Blogbeitrag DoorDash teilte Tech vor seiner Veröffentlichung zum Börsenschluss mit, dass böswillige Hacker Anmeldeinformationen von Mitarbeitern eines Drittanbieters gestohlen hätten, die dann verwendet wurden, um Zugang zu einigen der internen Tools von DoorDash zu erhalten.
Laut DoorDash haben die Angreifer auf Namen, E-Mail-Adressen, Lieferadressen und Telefonnummern von DoorDash-Kunden zugegriffen. Bei einer „kleineren Untergruppe“ von Benutzern griffen Hacker auf teilweise Zahlungskarteninformationen zu, einschließlich Kartentyp und die letzten vier Ziffern der Kartennummer.
Bei DoorDash-Lieferfahrern oder Dashers griffen Hacker auf Daten zu, die „hauptsächlich Name und Telefonnummer oder E-Mail-Adresse enthielten“. Benutzer von Wolt, dem in Helsinki ansässigen Online-Bestell- und Lieferunternehmen, das letztes Jahr von DoorDash übernommen wurde, sind nicht betroffen.
DoorDash sagt, dass ein „kleiner Prozentsatz“ der Benutzer von dem Vorfall betroffen war, lehnte es jedoch ab, zu sagen, wie viele Benutzer es derzeit hat, oder eine genaue Anzahl betroffener Benutzer anzugeben.
Das Unternehmen sagte, es habe den Zugriff des Drittanbieters auf seine Systeme gesperrt, nachdem es „ungewöhnliche und verdächtige“ Aktivitäten entdeckt habe.
DoorDash hat den Drittanbieter nicht genannt, der laut DoorDash-Sprecher Justin Crowley „Dienste bereitstellt, die einen eingeschränkten Zugriff auf einige interne Tools erfordern“, bestätigte jedoch gegenüber Tech, dass der Verstoß des Anbieters mit der Phishing-Kampagne zusammenhängt, die SMS und Messaging kompromittiert hat Riese Twilio am 4. August. Forscher brachten diese Angriffe mit einer umfassenderen Phishing-Kampagne derselben Hackergruppe namens „0ktapus“ in Verbindung, die fast 10.000 Mitarbeiteranmeldeinformationen von mindestens 130 Organisationen gestohlen hat, darunter Twilio, Signal, Internetunternehmen und ausgelagerte Kunden Dienstleister, seit März.
DoorDash wollte nicht sagen, wann es entdeckte, dass es kompromittiert wurde, aber sein Sprecher sagte, dass sich das Unternehmen Zeit genommen habe, „umfassend zu untersuchen, was passiert ist, welche Benutzer betroffen waren und wie sie betroffen waren“, bevor es die Datenschutzverletzung offenlegte.
DoorDash sagt, dass das Unternehmen seit der Entdeckung der Kompromittierung einen namenlosen Cybersicherheitsexperten eingestellt hat, um bei der laufenden Untersuchung zu helfen, und Maßnahmen ergreift, um „die bereits robusten Sicherheitssysteme von DoorDash weiter zu verbessern“.
Dies ist nicht das erste Mal, dass Hacker Kundendaten aus den Systemen von DoorDash stehlen. Im Jahr 2019 meldete das Unternehmen eine Datenschutzverletzung, von der 4,9 Millionen Kunden, Zusteller und Händler betroffen waren, deren Informationen von Hackern gestohlen wurden. Es machte auch einen ungenannten Drittanbieter für den Verstoß verantwortlich.
Weiterlesen:
Aus den Archiven: