Das studentische Mitfahrgelegenheits-Startup HopSkipDrive hat eine Datenschutzverletzung bestätigt, bei der es um die personenbezogenen Daten von mehr als 155.000 Fahrern ging.
HopSkipDrive mit Sitz in Los Angeles bietet einen Mitfahrdienst im Uber-Stil für Kinder und Jugendliche an. Das Startup, das seit seiner Gründung im Jahr 2014 mindestens 90 Millionen US-Dollar eingesammelt hat, arbeitet mit Schulbezirken zusammen, um Schüler zu befördern, die außerhalb der traditionellen Buslinien wohnen oder zusätzliche Hilfe beim Schulweg benötigen.
In einer Akte letzte Woche beim Generalstaatsanwalt von Maine, HopSkipDrive bestätigte, dass es im Juni zu einem Cybersicherheitsvorfall gekommen sei Dies führte zu einem Datenverstoß, der 155.394 Fahrer betraf. Laut HopSkipDrive gehörten zu den gestohlenen Daten Namen, E-Mail- und Postadressen, Führerscheinnummern und andere Nicht-Fahrerausweisnummern.
HopSkipDrive-Sprecher Campbell Millum sagte gegenüber Tech, dass zu den Betroffenen „Personen gehören, die auf unserer Plattform fahren oder sich für das Fahren auf unserer Plattform beworben haben“. Millum fügte hinzu, dass bei dem Verstoß kein Zugriff auf Mitarbeiter- oder Kundendaten stattgefunden habe.
Das Unternehmen bestätigte gegenüber Tech, dass es den Verstoß erstmals am 12. Juni 2023 entdeckte, als es „verdächtige Aktivitäten bei bestimmten von unserer Organisation genutzten Drittanbieteranwendungen entdeckte“. Das Unternehmen lehnte es ab, die Namen der kompromittierten Anwendungen zu nennen.
In einem Brief an die Betroffenen teilte HopSkipDrive mit, dass das Unternehmen erstmals auf das Problem aufmerksam geworden sei, nachdem es eine E-Mail von einem unbekannten Bedrohungsakteur erhalten habe.
Als Tech fragte, warum das Unternehmen Monate gebraucht habe, um betroffene Fahrer zu benachrichtigen, wies der Sprecher von HopSkipDrive Behauptungen über eine Verzögerung bei der Kommunikation des Unternehmens zurück und fügte hinzu, dass das Unternehmen betroffene Personen erstmals in der ersten Juliwoche benachrichtigt habe und „die Kommunikation seitdem fortgesetzt“ habe.
„Wir leiteten umgehend eine Untersuchung ein, beauftragten Experten mit der Einschätzung des Ausmaßes des Vorfalls und ergriffen Maßnahmen, um die möglichen Auswirkungen auf unsere Gemeinde abzumildern“, heißt es in dem Brief an die betroffenen Fahrer. „Eine forensische Untersuchung durch Dritte ergab, dass sich der Vorfall zwischen dem 31. Mai 2023 und dem 10. Juni 2023 ereignete.“
HopSkipDrive sagte, es sei „sich dafür eingesetzt, die Sicherheit unserer Systeme zu stärken, um zu verhindern, dass ein ähnliches Ereignis in Zukunft erneut auftritt“, ging jedoch nicht näher darauf ein, welche zusätzlichen Sicherheitsmaßnahmen es implementiert.
Tech fragte HopSkipDrive, wessen Auf der Führungsseite ist kein Chief Security Officer aufgeführt, wenn es einen Unternehmensleiter gibt, der sich mit der Cybersicherheit im Unternehmen befasst. HopSkipDrive sagte, dass es „Informationssicherheitsexperten sowohl in unseren Rechts- als auch in unseren Technologieteams“ habe.